详细内容或原文请订阅后点击阅览
更多的Ivanti攻击可能正在范围内。
Greynoise表示,这种活动通常是在新的漏洞披露VPN用户应保持警惕的情况下,因为IP扫描供应商的Connect Connect Secure Secure and Pulse Secure Secure Secuty上周飙升了800%,这是Thrint Intel Biz Greynoise的说法。
来源:The Register _恶意软件Ivanti VPN用户应在上周对供应商的Connect Secure and Pulse Secure Systems的IP扫描时保持警惕,上周飙升了800%。
互联网监测公司的团队表示,这种模式通常是在剥削和公开披露新漏洞之前的模式。
在任何给定时间,Ivanti VPN的典型每日唯一IP地址扫描不到30,有时在单位数字中,根据Greynoise的数据,但在4月18日,此数字飙升至234个探索Ivanti端点。
在上下文中,在过去的90天中,有1,004个独特的IP扫描连接安全和脉冲安全端点,这意味着在过去三个月中,几乎有四分之一的活动发生在一天中。
被指定为“可疑”的1,004个IP,634个被指定为“恶意”,而126个是“良性”。
“这次激增可能表明协调的侦察和未来剥削的可能准备,” Infosec Biz本周早些时候表示。
说明“由于其在企业远程访问中的作用,近年来,Ivanti Connect Secure已被重复。
“虽然尚未与这种扫描活动相关,但这种尖峰通常在主动剥削之前。格雷诺斯先前已经在公开发现新漏洞的情况下观察到了相似的模式。”
随着客户在原木上搜索了VPN端点的迹象,登记册询问Ivanti对Greynoise的发现。作为回应,Ivanti说,人们应该从脉冲安全设备中迁移,并连接安全的9.1 RX软件,因为它已经不支持。
寄存器 现在不支持“威胁性参与者经常在不再获得补丁或支持的生命终止(EOL)产品中利用已知漏洞,这使其非常容易受到N天攻击的影响。”