行业新闻与博客

威胁行为者一直在积极利用 Ivanti 云服务设备 (CSA) 中的链式漏洞，大大放大了网络攻击的影响。

这些漏洞（CVE-2024-8963、CVE-2024-9379、CVE-2024-8190 和 CVE-2024-9380）于 2024 年 9 月被利用来破坏系统、执行远程代码 (RCE)、窃取凭据并在受害者网络上部署 webshell。

利用连锁漏洞

根据网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI) 的联合报告，攻击者使用了两种不同的漏洞链来实现其目标：

• 第一条链将管理绕过漏洞 CVE-2024-8963 与 RCE 漏洞 CVE-2024-8190 和 CVE-2024-9380 结合在一起

• 第二条链利用了 CVE-2024-8963 以及 SQL 注入漏洞 CVE-2024-9379

该机构写道：“CISA 以及使用可信的第三方事件响应数据发现，威胁行为者利用列出的漏洞来获取初始访问权限、进行远程代码执行 (RCE)、获取凭据并在受害者网络上植入 Webshell。”

该咨询报告强调了这种链接技术如何使攻击更加危险且更难以防御。

缓解措施和建议

为了应对这一威胁，CISA 和 FBI 强烈建议使用 Ivanti CSA 的组织立即采取以下措施：

• 升级到最新支持版本以修补已知漏洞

• 监控咨询报告中提供的入侵指标 (IoC)

• 将存储在受感染系统上的任何凭据视为可能暴露

“CISA 和 FBI 强烈建议网络管理员和防御者升级到 Ivanti CSA 的最新支持版本，并使用咨询中提供的检测方法和入侵指标 (IoC) 在其网络上搜寻恶意活动。”该机构补充道。

需要特别注意的是，Ivanti CSA 4.6 版已过期，不再接收安全更新，因此极易受到攻击。我们敦促管理员优先更换不受支持的版本，以确保防范新出现的威胁。

CISA 还建议实施多因素身份验证、及时修补和端点监控等安全措施以加强防御。