行業新聞與博客

威脅行為者一直在積極利用 Ivanti 雲服務設備 (CSA) 中的鏈式漏洞，大大放大了網絡攻擊的影響。

這些漏洞（CVE-2024-8963、CVE-2024-9379、CVE-2024-8190 和 CVE-2024-9380）於 2024 年 9 月被利用來破壞系統、執行遠程代碼 (RCE)、竊取憑據並在受害者網絡上部署 webshell。

利用連鎖漏洞

根據網絡安全和基礎設施安全局 (CISA) 和聯邦調查局 (FBI) 的聯合報告，攻擊者使用了兩種不同的漏洞鏈來實現其目標：

• 第一條鏈將管理繞過漏洞 CVE-2024-8963 與 RCE 漏洞 CVE-2024-8190 和 CVE-2024-9380 結合在一起

• 第二條鏈利用了 CVE-2024-8963 以及 SQL 注入漏洞 CVE-2024-9379

該機構寫道：“CISA 以及使用可信的第三方事件響應數據發現，威脅行為者利用列出的漏洞來獲取初始訪問權限、進行遠程代碼執行 (RCE)、獲取憑據並在受害者網絡上植入 Webshell。”

該諮詢報告強調了這種鏈接技術如何使攻擊更加危險且更難以防禦。

緩解措施和建議

為了應對這一威脅，CISA 和 FBI 強烈建議使用 Ivanti CSA 的組織立即採取以下措施：

• 升級到最新支持版本以修補已知漏洞

• 監控諮詢報告中提供的入侵指標 (IoC)

• 將存儲在受感染系統上的任何憑據視為可能暴露

“CISA 和 FBI 強烈建議網絡管理員和防禦者升級到 Ivanti CSA 的最新支持版本，並使用諮詢中提供的檢測方法和入侵指標 (IoC) 在其網絡上搜尋惡意活動。”該機構補充道。

需要特別注意的是，Ivanti CSA 4.6 版已過期，不再接收安全更新，因此極易受到攻擊。我們敦促管理員優先更換不受支持的版本，以確保防範新出現的威脅。

CISA 還建議實施多因素身份驗證、及時修補和端點監控等安全措施以加強防禦。