引言
近期,Ivanti公司披露了两个严重漏洞影响其产品Pulse Connect Secure,分别是CVE-2023-46805(身份验证绕过)和CVE-2024-21887(远程命令执行)。这两个漏洞的披露引起了广泛关注,因为它们被认为是关键漏洞,且正在积极被攻击者利用。
漏洞检测与利用测试
在对各个版本进行测试时,特别是在Azure上部署的最旧版本9.1R11.4,我们发现当前已发布的身份验证绕过的利用载荷均无效。幸运的是,通过一系列测试,我们成功发现了在旧版本的Ivanti Pulse Connect Secure上滥用身份验证绕过的方法。这表明漏洞的严重性,并突显了对安全性的深刻担忧。
漏洞背后的故事
在阅读Volexity和Mandiant的研究时,我们首次获知了这些新兴威胁。这些研究详细介绍了一场由复杂威胁行为者在野外进行的广泛利用活动,进一步强调了这些漏洞的重要性。由于漏洞是关键漏洞且正在积极被攻击,我们的安全研究团队一直在全天候工作,确保我们的攻击面管理平台的客户在受到影响时能够及时得到通知。
漏洞逆向工程与检测机制
在这次漏洞披露过程中,我们的团队进行了漏洞的逆向工程,以深入了解漏洞的本质。我们还对其他检测机制和已发布的利用载荷进行了分析,以识别潜在的漏洞和提高检测的准确性。这一过程的详细记录将有助于整个安全研究社区更好地理解和应对类似漏洞。
社区挑战与解决
当漏洞首次披露时,许多安全研究人员无法获得Pulse Connect Secure的VM副本,引发了社区内的一些不满。这也揭示了一个问题,即通过销售流程的软件通常更容易受到攻击,因为它没有得到安全研究社区的关注。我们通过提供各种部署方式的链接,包括AWS Marketplace、Azure Marketplace以及Ivanti的VM,希望提高对漏洞的关注度,并鼓励更多研究人员参与漏洞研究和解决。
结论与建议
鉴于漏洞的严重性,我们建议所有使用Ivanti Pulse Connect Secure的用户及时升级到最新版本,以免受到潜在的攻击威胁。同时,我们鼓励安全研究社区对这类关键漏洞进行深入研究,以提高整个网络安全的水平。通过共同努力,我们可以更好地保护网络生态系统,确保用户的数据和隐私得到有效的保护。