HackerNews 编译，转载请注明出处： 威胁追踪者关注到一场新行动，目标直指Fortinet FortiGate防火墙设备，其管理接口暴露在公共互联网上。 “该行动涉及在防火墙管理接口上进行未授权的管理员登录、创建新账户、通过这些账户进行SSL VPN认证，以及进行各种其他配置更改。”网络安全公司Arctic Wolf在上周发布的分析中表示。 据信，恶意活动始于2024年11月中旬，未知威胁行为者通过未授权访问受影响防火墙的管理接口来更改配置，并使用DCSync提取凭证。 目前尚不清楚确切的初始访问向量，但鉴于受影响组织和固件版本的“压缩时间线”，已“高度确信”这很可能是利用零日漏洞所致。 受影响设备的固件版本介于2024年2月和10月发布的7.0.14和7.0.16之间。 该行动已观察到从2024年11月16日左右开始的四个不同攻击阶段，允许攻击者从漏洞扫描和侦察进展到配置更改和横向移动。 “与合法防火墙活动相比，这些活动的突出之处在于，它们广泛使用了来自少数不寻常IP地址的jsconsole接口。”Arctic Wolf研究人员表示。 “鉴于入侵之间的手法和基础设施存在细微差异，可能有多个人或团体参与了此次行动，但jsconsole的使用是贯穿始终的共同线索。” 简而言之，这些数字入侵涉及攻击者登录防火墙管理接口以进行配置更改，包括将输出设置从“标准”更改为“更多”，作为早期侦察工作的一部分，然后在2024年12月初进行更广泛的更改，创建新的超级管理员账户。 据说这些新创建的超级管理员账户随后被用来为每台设备设置多达六个新的本地用户账户，并将它们添加到受害者组织先前为SSL VPN访问创建的现有组中。在其他事件中，现有账户被劫持并添加到具有VPN访问权限的组中。 “还观察到威胁行为者创建新的SSL VPN门户，并直接向其中添加用户账户。”Arctic Wolf指出。“在进行必要更改后，威胁行为者与受影响设备建立了SSL VPN隧道。所有隧道的客户端IP地址均来自少数几家VPS托管提供商。” 该行动以对手利用SSL VPN访问权限，通过称为DCSync的技术提取凭证以进行横向移动告终。不过，目前尚无法了解他们的最终目标，因为他们在攻击进入下一阶段之前就被清除了。 为缓解此类风险，至关重要的是，组织不要将防火墙管理接口暴露在互联网上，并限制对可信用户的访问。 网络安全 “此次行动中的受害者并不局限于任何特定行业或组织规模。”该公司表示。“受害者组织概况的多样性，加上自动化登录/注销事件的出现，表明此次行动的针对性是机会主义的，而非有意识、有方法地针对。” Fortinet确认新零日漏洞 Fortinet已发布有关FortiOS和FortiProxy中新的关键认证绕过漏洞的详细信息（CVE-2024-55591，CVSS评分：9.6），该公司表示该漏洞被用来劫持防火墙和入侵企业网络。 “一个认证绕过使用替代路径或通道的漏洞[CWE-288]，影响FortiOS和FortiProxy，可能允许远程攻击者通过向Node.js websocket模块发送精心构造的请求来获得超级管理员权限。”该公司在2025年1月14日发布的咨询中表示。 该缺陷影响以下版本： FortiOS 7.0.0至7.0.16（升级至7.0.17或更高版本） FortiProxy 7.0.0至7.0.19（升级至7.0.20或更高版本），以及 FortiProxy 7.2.0至7.2.12（升级至7.2.13或更高版本） 它还表示，该漏洞已被未知威胁行为者利用来创建管理员和本地用户账户、设置新的用户组或把新创建的本地用户添加到现有SSL VPN用户组，并更改防火墙策略，这与Arctic Wolf的发现相呼应。 消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新研究发现，谷歌“使用谷歌账号登录”认证流程中存在一个“缺陷”，攻击者可利用域名所有权的特殊之处获取敏感数据。 周一的报告中，Truffle Security联合创始人兼首席执行官Dylan Ayrey表示：“谷歌的OAuth登录机制无法防止攻击者购买已倒闭创业公司的域名，并利用其重新创建前员工的电子邮件账户。” “虽然无法访问旧电子邮件数据，但可以使用这些账户登录该组织使用的所有不同SaaS产品。” 这家总部位于旧金山的公司指出，仅仅通过购买与已倒闭创业公司相关的废弃域名，即可未经授权访问与OpenAI ChatGPT、Slack、Notion、Zoom甚至HR系统等各种应用程序相关的前员工账户，从而使数百万美国用户的数据面临风险。 Ayrey说：“最敏感的账户包括HR系统，其中含有税务文件、工资单、保险信息、社会保险号码等更多信息。面试平台也包含有关候选人反馈、录用和拒绝的敏感信息。” OAuth（开放授权）是一种用于访问委托的开放标准，允许用户授予网站或应用程序访问其在其他网站上信息的权限，而无需提供密码。这是通过使用访问令牌来验证用户身份并允许服务访问令牌所指定的资源来实现的。 当使用“使用谷歌账号登录”登录Slack等应用程序时，谷歌会向该服务发送一组关于用户的声明，包括其电子邮件地址和托管域名，然后可利用这些信息登录用户账户。 这也意味着，如果服务仅依赖这些信息对用户进行身份验证，那么域名所有权变更就可能让攻击者重新访问前员工账户。 Truffle还指出，谷歌的OAuth ID令牌包含一个唯一的用户标识符（sub声明），理论上可以防止这个问题，但已被发现不可靠。值得注意的是，微软的Entra ID令牌包含sub或oid声明，用于存储每个用户的不可变值。 谷歌最初对漏洞披露的回应称这是预期行为，但自2024年12月19日起重新打开了漏洞报告，并向Ayrey颁发了1337美元的奖金。谷歌还将此问题定性为“具有重大影响的滥用相关方法”。 与此同时，下游软件提供商无法采取任何措施来保护其免受谷歌OAuth实现中的漏洞影响。The Hacker News已联系谷歌以获取进一步评论，如有回复，我们将更新报道。 Ayrey说：“作为个人，一旦你从创业公司离职，你就失去了保护这些账户中数据的能力，你的数据将受到创业公司及域名未来命运的摆布。如果用户和工作区没有不可变标识符，域名所有权变更将继续危及账户安全。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Microsoft曝光了一个已修复的Apple macOS安全漏洞。该漏洞若被成功利用，可使以“root”身份运行的攻击者绕过操作系统的系统完整性保护（SIP），并通过加载第三方内核扩展来安装恶意内核驱动程序。 该漏洞为CVE-2024-44243（CVSS评分：5.5），属于中等严重程度，苹果已在上月发布的macOS Sequoia 15.2中进行了修复。苹果公司将此描述为一个“配置问题”，可能允许恶意应用修改文件系统的受保护部分。 Microsoft威胁情报团队的Jonathan Bar Or表示：“绕过SIP可能导致严重后果，例如增加攻击者和恶意软件作者成功安装rootkit、创建持久性恶意软件、绕过透明度、同意和控制（TCC）以及扩大攻击面和利用其他技术的可能性。” SIP（也称为无根模式）是一个安全框架，旨在防止安装在Mac上的恶意软件篡改操作系统的受保护部分，包括/System、/usr、/bin、/sbin、/var以及设备上预安装的应用程序。 它通过针对root用户账户执行各种保护来实现其功能，仅允许由苹果签名并具有写入系统文件的特殊权限的进程（如苹果软件更新和苹果安装程序）修改这些受保护的部分。 SIP特有的两项权限如下： com.apple.rootless.install：此权限可解除SIP对具有该权限的进程的文件系统限制。 com.apple.rootless.install.heritable：此权限通过继承com.apple.rootless.install权限，可解除SIP对进程及其所有子进程的文件系统限制。 CVE-2024-44243是Microsoft在macOS中发现的最新SIP绕过漏洞，此前发现的类似漏洞包括CVE-2021-30892（Shrootless）和CVE-2023-32369（Migraine）。该漏洞利用存储套件守护进程（storagekitd）的“com.apple.rootless.install.heritable”权限来绕过SIP保护。 具体而言，这是通过利用“storagekitd在无需适当验证或降低权限的情况下调用任意进程的能力”来实现的，可将新的文件系统包传递到/Library/Filesystems（storagekitd的子进程），并覆盖与磁盘工具相关的二进制文件，这些二进制文件可在执行某些操作（如磁盘修复）时被触发。 Bar Or表示：“由于能够以root身份运行的攻击者可以将新的文件系统包放入/Library/Filesystems，他们随后可以触发storagekitd生成自定义二进制文件，从而绕过SIP。在新创建的文件系统上触发擦除操作也可以绕过SIP保护。” 此次披露距Microsoft曝光Apple macOS透明度、同意和控制（TCC）框架中的另一个安全漏洞（CVE-2024-44133，CVSS评分：5.5），即HM Surf漏洞，已近三个月，该漏洞可能被利用来访问敏感数据。 Bar Or表示：“禁止第三方代码在内核中运行可以提高macOS的可靠性，但代价是降低了安全解决方案的监控能力。如果SIP被绕过，整个操作系统将不再可靠，且由于监控可见性降低，威胁行为者可以篡改设备上的任何安全解决方案以逃避检测。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者正在分发伪装成针对近期Windows LDAP漏洞的概念验证（PoC）利用代码的信息窃取恶意软件。 该安全缺陷被追踪为CVE-2024-49113（CVSS评分7.5），可导致拒绝服务（DoS）攻击，并于12月10日与其他70多个漏洞（包括可能导致远程代码执行（RCE）的关键LDAP漏洞CVE-2024-49112）一同得到修复。 在针对这两个问题的补丁发布不到一个月后，SafeBreach发布了针对CVE-2024-49113的PoC代码，并称其重要性不亚于RCE漏洞。 SafeBreach将CVE-2024-49113称为“LDAP噩梦”，指出如果存在可访问互联网的DNS服务器，该漏洞可被利用来崩溃任何未打补丁的Windows服务器，即使这些服务器不是域控制器。 现在，趋势科技警告称，一款伪造的PoC利用代码诱使安全研究人员在其系统上执行信息窃取恶意软件。 “尽管使用PoC诱饵作为恶意软件传播手段的策略并非新鲜事，但此次攻击仍引发重大担忧，尤其是它利用了可能影响更多受害者的热门问题，”趋势科技指出。 该PoC通过从原始仓库分叉的仓库进行分发，并将原始Python文件替换为使用UPX打包的可执行文件。 执行后，伪造的PoC会在系统的临时文件夹中释放一个PowerShell脚本。该脚本创建一个计划任务，执行一个编码后的脚本，该脚本旨在从Pastebin下载另一个脚本。 第二个脚本收集系统信息，如进程列表、目录列表、IP地址、网络适配器信息和已安装更新，将其压缩成ZIP归档文件，并上传到外部FTP服务器。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： CISA已将BeyondTrust特权远程访问（PRA）和远程支持（RS）产品中的命令注入漏洞（CVE-2024-12686）标记为正在被攻击利用。 根据《强制性操作指令》（BOD）22-01的要求，该漏洞被纳入CISA的“已知被利用漏洞”目录后，美国联邦机构必须在2月3日前的三周内，针对该漏洞发起的持续攻击，确保其网络安全。 12月19日，美国网络安全机构还在同一款BeyondTrust软件产品中发现了另一个关键的命令注入安全漏洞（CVE-2024-12356）。 BeyondTrust在12月初调查其部分远程支持SaaS实例遭入侵事件时发现了这两个漏洞。攻击者窃取了一个API密钥，随后使用该密钥重置了本地应用账户的密码。 虽然BeyondTrust在12月的披露中并未明确提及，但威胁行为者很可能利用这两个漏洞作为零日漏洞，入侵BeyondTrust系统，进而攻击其客户。 1月初，财政部披露，攻击者使用窃取的远程支持SaaS API密钥，入侵了该部门使用的BeyondTrust实例。 此后，此次攻击被指与中国国家支持的黑客组织“丝绸台风”有关。该网络间谍组织以侦察和数据盗窃攻击而闻名，曾在2021年初利用Microsoft Exchange Server ProxyLogon零日漏洞入侵约68,500台服务器后广为人知。 威胁行为者专门瞄准了负责管理和执行贸易与经济制裁项目的外国资产控制办公室（OFAC），以及审查外国投资是否存在国家安全风险的美国外国投资委员会（CFIUS）。 他们还入侵了财政部的金融研究办公室系统，但此次事件的影响仍在评估中。据信，“丝绸台风”利用窃取的BeyondTrust数字密钥访问了“与潜在制裁行动和其他文件相关的非机密信息”。 BeyondTrust表示，它已对所有云实例中的CVE-2024-12686和CVE-2024-12356漏洞应用了安全补丁。但是，运行自托管实例的用户必须手动部署补丁。 该公司尚未在上个月发布的安全公告中将这两个安全漏洞标记为正在被攻击利用。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，Aviatrix Controller云网络平台的一个关键安全漏洞被公开，该漏洞已在野外被积极利用，以部署后门程序和加密货币挖矿软件。 云安全公司Wiz表示，目前正在应对多起涉及CVE-2024-50603（CVSS评分：10.0）武器化的事件，这是一个可能导致未经授权的远程代码执行的最严重漏洞。 换言之，由于某些API端点没有充分对用户输入进行清理，成功利用该漏洞的攻击者可以注入恶意操作系统命令。该漏洞已在7.1.4191和7.2.4996版本中得到修复。 波兰网络安全公司Securing的安全研究员Jakub Korepta发现并报告了这一缺陷，并因此受到赞誉。此后，一个概念验证（PoC）漏洞利用工具已被公开。 网络安全公司收集的数据显示，约3%的云企业环境部署了Aviatrix Controller，其中65%的环境展示了横向移动到云控制平面管理权限的路径。这反过来又允许在云环境中进行权限提升。 Wiz研究人员Gal Nagli、Merav Bar、Gili Tikochinski和Shaked Tanchuma表示：“当Aviatrix Controller部署在AWS云环境中时，它默认允许权限提升，这使得该漏洞的利用成为高风险。” 利用CVE-2024-50603的现实攻击正在利用对目标实例的初步访问，使用XMRig挖掘加密货币，并部署Sliver指挥和控制（C2）框架，可能是为了持久性和后续利用。 Wiz研究人员表示：“虽然我们尚未看到云横向移动的直接证据，但我们确实认为，威胁行为者很可能正在利用该漏洞来枚举主机的云权限，然后转向从受害者的云环境中提取数据。” 鉴于该漏洞正在被积极利用，建议用户尽快应用补丁，并阻止对Aviatrix Controller的公共访问。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   近日，网络安全研究人员详细披露了一个现已修复的安全漏洞，该漏洞影响三星智能手机上的Monkey’s Audio（APE）解码器，可能导致代码执行。 此高严重性漏洞被追踪为CVE-2024-49415（CVSS评分：8.1），影响运行Android 12、13和14版本的三星设备。 三星在其2024年12月发布的月度安全更新公告中称：“在SMR Dec-2024 Release 1之前的libsaped.so中存在越界写入漏洞，允许远程攻击者执行任意代码。该补丁增加了适当的输入验证。” 发现并报告此漏洞的谷歌Project Zero研究人员娜塔莉·西尔瓦诺维奇表示，在特定条件下，该漏洞无需用户交互即可触发（即零点击），并构成了一个“有趣的新攻击面”。 特别是，当谷歌信息应用配置为富通信服务（RCS），即Galaxy S23和S24手机的默认配置时，该漏洞便会生效，因为转录服务会在用户与消息互动以进行转录之前，对传入的音频进行本地解码。 “libsaped.so中的saped_rec函数向由C2媒体服务分配的dmabuf写入数据，该dmabuf的大小始终显示为0x120000，”西尔瓦诺维奇解释道。 “虽然libsapedextractor提取的最大blocksperframe值也限制在0x120000以内，但如果输入样本的字节数为24，saped_rec最多可以写入3 * blocksperframe字节。这意味着，一个具有较大blocksperframe大小的APE文件可能会严重溢出此缓冲区。” 在假设的攻击场景中，攻击者可以通过谷歌信息应用向任何启用了RCS的目标设备发送特制的音频消息，从而导致其媒体编解码器进程（“samsung.software.media.c2”）崩溃。 三星2024年12月的补丁还修复了SmartSwitch中的另一个高严重性漏洞（CVE-2024-49413，CVSS评分：7.1），该漏洞可能会被本地攻击者利用，通过不正当的加密签名验证来安装恶意应用程序。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁情报公司GreyNoise警告称，威胁行为者正在利用最近披露的GFI KerioControl防火墙漏洞，该漏洞可导致一键远程代码执行（RCE）。 GFI KerioControl是一款网络安全解决方案，提供防火墙功能和统一威胁管理能力，包括威胁检测和阻止、流量控制、入侵防御以及VPN功能。 被利用的漏洞编号为CVE-2024-52875，于12月19日发布了补丁，是一个CRLF注入漏洞，可被利用执行HTTP响应拆分攻击，进而导致反射型跨站脚本（XSS）攻击。 安全研究员埃吉迪奥·罗马诺于12月16日发布了该漏洞的详细技术文档，指出反射型XSS攻击向量可被利用执行一键RCE攻击。 罗马诺解释说，该问题源于GFI KerioControl中的多个HTTP响应拆分漏洞，这些漏洞之所以存在，是因为易受攻击的页面未能正确清理用户输入。 研究员评估认为，由于利用该漏洞获得RCE时可利用一个九年前就已存在的漏洞，且可能使攻击者在防火墙上部署root shell，因此该漏洞应被视为“高危”，CVSS评分为8.8。 罗马诺发布了针对该安全缺陷的概念验证（PoC）代码，并警告称，该漏洞影响GFI KerioControl 9.2.5至9.4.5版本，意味着该漏洞在软件中潜伏了大约七年。 本周，GreyNoise警告称，已观察到多次针对CVE-2024-52875的利用尝试，该漏洞“允许攻击者利用HTTP响应拆分和反射型跨站脚本获取设备的CSRF令牌，在特定条件下可能实现一键远程代码执行”。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Palo Alto Networks已发布软件补丁，以解决其Expedition迁移工具中的多个安全漏洞，其中包括一个经身份验证的攻击者可利用的高危漏洞以访问敏感数据。 公司在一份公告中表示：“Palo Alto Networks的Expedition迁移工具存在多个漏洞，使得攻击者能够读取Expedition数据库内容及任意文件，还可在Expedition系统上创建和删除任意文件。” “这些文件包括用户名、明文密码、设备配置以及运行PAN-OS软件的防火墙的设备API密钥等信息。” Expedition是Palo Alto Networks提供的一款免费工具，旨在协助用户从其他防火墙供应商迁移到其平台。该工具将于2024年12月31日终止使用（EoL）。漏洞列表如下： CVE-2025-0103（CVSS评分：7.8）——一个SQL注入漏洞，经身份验证的攻击者可利用该漏洞泄露Expedition数据库内容（如密码哈希、用户名、设备配置和设备API密钥），以及创建和读取任意文件。 CVE-2025-0104（CVSS评分：4.7）——一个反射型跨站脚本（XSS）漏洞，如果经身份验证的用户点击允许网络钓鱼攻击并可能导致浏览器会话失窃的恶意链接，攻击者便可在该用户浏览器的上下文中执行恶意JavaScript代码。 CVE-2025-0105（CVSS评分：2.7）——一个任意文件删除漏洞，未经身份验证的攻击者可删除主机文件系统中对www-data用户可访问的任意文件。 CVE-2025-0106（CVSS评分：2.7）——一个通配符扩展漏洞，允许未经身份验证的攻击者枚举主机文件系统中的文件。 CVE-2025-0107（CVSS评分：2.3）——一个操作系统（OS）命令注入漏洞，经身份验证的攻击者可在Expedition中以www-data用户的身份运行任意OS命令，从而导致泄露运行PAN-OS软件的防火墙的用户名、明文密码、设备配置和设备API密钥。 Palo Alto Networks表示，已在版本1.2.100（CVE-2025-0103、CVE-2025-0104和CVE-2025-0107）和1.2.101（CVE-2025-0105和CVE-2025-0106）中修复了这些漏洞，且不打算发布任何额外的更新或安全补丁。 作为临时解决方案，建议确保仅授权用户、主机和网络能够访问Expedition，或在不使用时关闭该服务。 与此同时，SonicWall也发布了补丁，以修复SonicOS中的多个漏洞，其中两个漏洞可被分别用于实现身份验证绕过和权限提升。 CVE-2024-53704（CVSS评分：8.2）——SSLVPN身份验证机制中存在身份验证不当漏洞，允许远程攻击者绕过身份验证。 CVE-2024-53706（CVSS评分：7.8）——Gen7 SonicOS云平台NSv（仅限AWS和Azure版本）中存在漏洞，允许远程经身份验证的本地低权限攻击者将权限提升至root，并可能导致代码执行。 虽然尚无证据表明上述漏洞已在现实中遭到利用，但用户务必尽快应用最新补丁。 此外，波兰网络安全公司Securing还披露了一个影响Aviatrix控制器的最高严重程度安全漏洞（CVE-2024-50603，CVSS评分：10.0），该漏洞可被利用以获得任意代码执行。该漏洞影响7.x至7.2.4820版本。 该漏洞源于API端点中的某些代码段未对用户提供的参数（“list_flightpath_destination_instances”和“flightpath_connection_test”）进行清理，已在7.1.4191或7.2.4996版本中修复。 安全研究员Jakub Korepta表示：“由于未正确中和操作系统命令中使用的特殊元素，未经身份验证的攻击者能够远程执行任意代码。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ivanti发出警告，黑客在零日攻击中利用了Connect Secure远程代码执行漏洞（CVE-2025-0282），在设备上安装了恶意软件。 该公司表示，在Ivanti Integrity Checker Tool（ICT）检测到客户设备上的恶意活动后，他们意识到了这一漏洞。Ivanti随即展开调查，并确认威胁行为者正在积极利用CVE-2025-0282作为零日漏洞。 CVE-2025-0282是一个严重（9.0分）的栈溢出漏洞，存在于Ivanti Connect Secure 22.7R2.5版本之前、Ivanti Policy Secure 22.7R1.2版本之前以及Ivanti Neurons for ZTA网关22.7R2.3版本之前的版本中，允许未经身份验证的攻击者远程在设备上执行代码。 尽管该漏洞影响了这三款产品，但Ivanti表示，他们目前仅发现Ivanti Connect Secure设备受到了该漏洞的利用。 Ivanti的一篇博客文章写道：“在披露时，我们已知有少数客户的Ivanti Connect Secure设备受到了CVE-2025-0282的利用。” “我们尚未发现CVE在Ivanti Policy Secure或Neurons for ZTA网关中被利用。” Ivanti已紧急为Ivanti Connect Secure发布了安全补丁，该补丁已在固件版本22.7R2.5中解决。 然而，根据今日发布的安全公告，Ivanti Policy Secure和Ivanti Neurons for ZTA网关的补丁将于2025年1月21日发布。 Ivanti Policy Secure：此解决方案不面向互联网，因此被利用的风险显著降低。Ivanti Policy Secure的修复计划于2025年1月21日发布，并将在标准下载门户中提供。客户应始终确保其IPS设备根据Ivanti的建议进行配置，且不暴露于互联网。我们尚未发现CVE在Ivanti Policy Secure中被利用。 Ivanti Neurons for ZTA网关：在生产环境中，Ivanti Neurons ZTA网关无法被利用。如果为该解决方案生成的网关未连接到ZTA控制器，则存在该生成网关被利用的风险。修复计划于2025年1月21日发布。我们尚未发现CVE在ZTA网关中被利用。 该公司建议所有Ivanti Connect Secure管理员执行内部和外部ICT扫描。 如果扫描结果正常，Ivanti仍建议管理员在升级到Ivanti Connect Secure 22.7R2.5之前进行出厂重置。 但是，如果扫描结果显示存在安全漏洞，Ivanti表示，出厂重置应能移除已安装的恶意软件。然后，应使用22.7R2.5版本将设备重新投入生产。 今日的安全更新还修复了另一个被追踪为CVE-2025-0283的漏洞，Ivanti表示，该漏洞目前尚未被利用或与CVE-2025-0282结合使用。此漏洞允许经过身份验证的本地攻击者提升权限。 由于Ivanti正与Mandiant和微软威胁情报中心合作调查这些攻击，我们很快就会看到有关检测到的恶意软件的报告。 BleepingComputer就这些攻击向Ivanti提出了进一步的问题，并在收到回复后更新本文。 今年10月，Ivanti发布了安全更新，修复了三个在攻击中被积极利用的Cloud Services Appliance（CSA）零日漏洞。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文