위협 행위자들이 Ivanti Connect Secure 및 Policy Secure Gateway의 다중 취약점을 악용합니다.

사이버 범죄자들은 Ivanti Connect Secure 및 Policy Secure 게이트웨이의 취약점을 적극적으로 악용하여 고급 권한으로 임의의 명령을 실행할 수 있습니다. 이러한 취약점은 지원되는 모든 버전에 영향을 미치고 인증을 우회하고 악의적인 요청을 조작하는 체인 익스플로잇에 사용됩니다. CISA는 Ivanti의 Integrity Checker Tool (ICT)가 충분하지 않다고 판단했는데, 사이버 범죄자들은 이를 속이고 공장 초기화 후에도 루트 수준의 지속성을 유지할 수 있었습니다. 네트워크 방어자들은 사용자 및 서비스 계정 자격 증명의 손상 가능성을 가정하고 악의적인 활동을 추적하여 최신 ICT를 실행하고 패치를 사용할 수 있는대로 적용해야 합니다. 손상된 경우 조직은 영향을 받는 호스트를 격리하고, 다시 이미징하고, 자격 증명을 재설정하고, 악의적인 관리자 계정을 확인하고 제거하고, 수집 및 분석해야 하는 아티팩트를 확인해야 합니다. CISA는 Ivanti 게이트웨이에서 적의 액세스 및 지속의 위험을 고려하여 운영을 계속할지 여부를 평가할 것을 권장합니다. 연방 민간 행정부(FCEB) 기관은 영향을 받는 제품에 대한 특정 조치를 취할 것을 요구하는 연방 긴급 지시(ED) 24-01을 받았습니다. 캐나다 사이버 보안 센터는 영향을 받는 IT 전문가들을 위한 경보와 주기적인 업데이트를 발행했습니다. 악의적인 사이버 활동을 MITRE ATT&CK 프레임워크에 매핑하여 탐지 및 대응을 개선하는 데 도움이 되는 손상 지표(IOCs) 및 YARA 규칙이 제공됩니다.