CISA警告被黑Ivanti设备存在根持久性 媒体

CISA警告企业对已遭入侵Ivanti VPN设备的使用需谨慎

主要重点

CISA建议企业考虑持续使用已被入侵的Ivanti VPN设备的风险，即便进行了出厂重置。攻击者可能仍能保持根级持久性并规避检测。Ivanti的完整性检查工具无法侦测到通过新发现的漏洞引发的入侵。Ivanti已针对漏洞进行修补更新。

根据BleepingComputer，美国网络安全和基础设施安全局(CISA)警告企业在进行工厂重置后，仍需仔细考量是否继续使用先前已被入侵的Ivanti VPN设备。该机构指出，威胁演员似乎具备保持根级持久性和规避检测的能力，这使得这些设备的持续使用风险增加。

CISA报告显示，由Ivanti提供的内部和外部完整性检查工具无法发现多起违规事件中Ivanti Connect Secure和Policy Secure网关的入侵，因为在web shell中并未出现文件不匹配的情况。攻击者透过覆盖文件、时间戳击和重新挂载运行时分区等技术成功隐藏了他们的行为，以此在入侵的设备中重建“干净状态”。此外，CISA的独立实验室调查也指出，即使执行工厂重置，“网络威胁行为者仍可能获得根级持久性”。

蘑菇加速器ios

Ivanti表示，已在外部完整性检查工具的更新中修补了发现的问题，并指出如果攻击者使用CISA所发现的方法来保持根级持久性，连接到Ivanti Connect Secure设备的连线将会中断。

重要资讯详细说明风险持续使用已被入侵的设备入侵工具Ivanti的完整性检查工具未能侦测漏洞修补更新Ivanti公布更新修补相关问题

“网络威胁行为者可能过去尽管执行了工厂重置，仍能保持根级持久性。” CISA 研究结果

有关本文的更多详细信息，请查看以下连结：CISA及Ivanti官网。