受到攻击：Ivanti SSRF 漏洞 CVE-2024-21893 成为众多黑客的目标

　　Ivanti Connect Secure 和 Policy Secure 服务器中一个漏洞(编号为 CVE-2024-21893)被广泛利用，这引起了网络安全专业人员的警觉。这个影响软件版本 9.x 和 22.x 的严重缺陷使犯罪分子能够规避身份验证协议并访问受感染设备的受限资源。

　　Ivanti 于 1 月 31 日发布了最初的警报，当时该漏洞被归类为“零日漏洞”，因为其有限的主动利用影响了一小部分客户。

　　目前，根据威胁监控服务 Shadowserver 的说法，犯罪分子正在积极利用该漏洞。分析师记录了来自 170 个唯一 IP 地址的利用尝试。针对此漏洞的攻击规模大大超过了最近解决的其他 Ivanti 问题的活动，这表明攻击者的注意力明显转移。

　　2 月 2 日，Rapid7 的研究人员披露了一个公开的概念验证 (PoC) 漏洞，不可否认，这导致了攻击数量的增加。Shadowserver 指出，在 Rapid7 的报告发布前几个小时，犯罪分子使用了与已发表的方法类似的方法。这表明黑客已经独立发现了利用 CVE-2024-21893 不受限制、无需身份验证访问 Ivanti 漏洞的方法。

　　迄今为止，研究人员已经确定了近 22,500 台可通过互联网访问的 Ivanti Connect Secure 设备。但是，目前尚不确定其中有多少容易受到被积极利用的漏洞的影响。

　　Ivanti 披露 CVE-2024-21893 的同时，还发布了安全更新，以解决影响相同产品的另外两个“零日”漏洞。这些安全漏洞被一群中国间谍利用，在受感染的设备上安装网络外壳和后门，感染高峰出现在 1 月中旬。

　　鉴于几个关键的“零日”漏洞被积极利用，缺乏有效的保护措施，以及某些产品版本的安全更新，网络安全和基础设施安全局 (CISA) 甚至要求所有美国联邦机构断开 Ivanti Connect Secure 和 Policy Secure VPN 设备的连接。这些设备只有在重置为出厂设置并更新到最新固件版本后才能重新连接到网络。

　　该建议适用于私营组织，这些组织应仔细检查其 Ivanti 系统的安全性和网络环境的整体完整性。