Ivanti 的产品最近成为攻击者的主要目标，该公司披露了其技术中的两个更严重的漏洞，引发了人们对其产品安全性的更多疑问。

其中一个漏洞编号为CVE-2023-41724（CVSS 漏洞严重性评分为 9.6 分（满分 10 分）），是 Ivanti Standalone Sentry 中的一个远程代码执行漏洞，北约网络安全中心的研究人员向该公司报告了该漏洞。

Ivanti 本周披露的第二个缺陷是Ivanti Neurons for IT Service Management (ITSM) 中的CVE-2023-46808（CVSS 评分为 9.9）。

严重错误

Standalone Sentry 缺陷影响该技术的所有受支持版本（9.17.0、9.18.0 和 9.19.0），允许未经身份验证的攻击者在底层操作系统上执行任意代码。 Ivanti 表示，旧版本的 Standalone Sentry 也面临风险。

该供应商表示，到目前为止，尚未发现任何威胁行为者在野外利用该漏洞的证据。 Ivanti 表示：“没有通过 EPMM 注册的有效 TLS 客户端证书的威胁参与者无法直接在互联网上利用此问题。”

Neurons for ITSM 中的漏洞为经过身份验证的远程攻击者提供了一种将文件写入或上传到 ITSM 服务器并获得在其上执行任意代码的能力的方法。与 Standalone Sentry 中的 RCE 缺陷一样，Ivanti 表示，迄今为止尚未发现利用活动的迹象。

Ivanti 已发布受影响产品的更新版本来解决每个漏洞。该公司表示，它在去年底了解到了这两个漏洞，并为它们保留了一个 CVE 编号，这就是为什么这些漏洞的 CVE 编号为 2023。该公司指出：“Ivanti 的政策是，当 CVE 未受到积极利用时，我们会在有可用修复程序时披露该漏洞，以便客户拥有保护其环境所需的工具。”

让不良记录变得更糟

自 1 月份以来，该公司的安全管理员一直忙于处理其产品中源源不断的缺陷，在一些情况下，威胁行为者很快就发现了这些缺陷。一个典型的例子是“ Magnet Goblin ”，这是一个出于经济动机的威胁行为者，它是最快利用 CVE-2024-21887（Ivanti Connect Secure 和 Policy Secure 网关中的命令注入漏洞）的人之一。

该缺陷是 Ivanti 于 1 月初在安全远程访问技术中披露的两个零日漏洞之一，另一个是 CVE-2023-46805，但该公司直到几周后才发布补丁。在此期间，众多威胁组织在全球范围内积极利用这些漏洞进行大规模攻击。

尽管陷入困境的管理员努力解决这两个最初的缺陷，Ivanti 在 1 月下旬披露了其 Connect Secure VPN 技术中的另外两个错误，CVE-2024-21888 和 CVE-2024-21893，后者是一个零日错误披露时的积极利用。不到两周后，该公司披露了 Ivanti Connect Secure 和 Ivanti Pulse Secure 技术中的另一个缺陷 – CVE-2024-22024，攻击者再次迅速利用了该漏洞。

据社区内的一些研究人员称，Ivanti 产品中看似不断出现的错误，以及它们给供应商客户（其中一些客户包括非常大的企业）带来的风险，可以预见会损害其声誉。有些人甚至将这些缺陷以及该公司对这些缺陷的反应相对缓慢描述为对企业的生存构成威胁。

文章原文链接:https://www.anquanke.com/post/id/294219