最新文章
Top News
黑客利用 Ivanti EPMM 设备部署休眠后门
HackerNews 编译,转载请注明出处:
黑客正积极利用 Ivanti Endpoint Manager Mobile(EPMM)设备植入“休眠”后门,这类后门可闲置数天甚至数周不被激活。
Ivanti 近期披露了 EPMM 的两处高危漏洞——CVE-2026-1281 和 CVE-2026-1340,分别涉及不同程序包(aftstore 和 appstore)中的身份验证绕过与远程代码执行问题。
尽管涉及的程序包不同,但防御方面临的实际影响一致:攻击者可未经认证访问应用层端点。Ivanti 已在安全公告中发布缓解措施与补丁部署指南,但漏洞披露后不久便出现了在野利用行为。
Defusedcyber 观测到的与本次攻击浪潮相关的入侵事件中,漏洞成功利用后,攻击者都会在 /mifs/403.jsp 路径下留下恶意文件。该文件名与路径在针对 Ivanti/MobileIron 的攻击中并非首次出现,
不同之处在于恶意载荷的用途:攻击者并未部署可执行命令的交互式 WebShell,而是通过 HTTP 参数传输经 Base64 编码的 Java 类文件。
每个解码后的载荷均包含有效的 Java 字节码(以 CAFEBABE 类头标识),其作用是休眠式内存类加载器,而非可立即使用的后门。这一区别具有重要的实战意义:传统的 WebShell 检测通常以后续命令执行和文件系统痕迹为核心线索,而本次攻击中,攻击者的流程核心是“植入并验证”,而非“植入并立即操作”。
观测到的植入类为 base.Info(由 Info.java 编译而来),该类不提供文件浏览、命令执行功能,也无常规的操作控制台,仅等待后续的“激活”请求——该请求会传输第二个 Java 类,随后加载器将其直接在内存中运行。
值得注意的是,该加载器以 equals(Object) 方法作为入口点,而非 doGet、doPost 等标准 Servlet 方法,这一设计可规避简易检测规则;同时它会从传入的对象中提取 HttpServletRequest 和 HttpServletResponse 对象(并兼容 PageContext 及 Servlet 包装/外观模式),提升了在不同 Java Web 容器中的适配性。
移交控制权前,加载器会采集主机指纹信息(如 user.dir 路径、文件系统根目录、操作系统名称、用户名等),并将这些数据传递给第二阶段类,便于攻击者后续快速掌握目标主机情况。
Defusedcyber 观测到的所有案例中,加载器均已完成植入与验证,但未发现传输第二阶段类的后续请求。
这种“先植入、后操作”的模式符合初始访问中介(Initial Access Broker)的行为特征:一方大规模建立可靠的访问权限,另一方后续从不同基础设施利用这些权限牟利或发起攻击。
Shadowserver 观测到攻击者在 Ivanti EPMM 设备上部署 WebShell,推测是利用了 CVE-2026-1281 漏洞,扫描数据显示截至 2026 年 2 月 6 日已有 56 个 IP 地址的设备被攻陷。
...
Fortinet 和 Ivanti 修复高危漏洞
HackerNews 编译,转载请注明出处:
Fortinet和Ivanti宣布了2025年10月的周二补丁更新,修复了其产品中的许多漏洞。
...
Ivanti 修复用于远程代码执行的 EPMM 漏洞
HackerNews 编译,转载请注明出处:
Ivanti近日发布安全更新,修复其移动终端管理平台Endpoint Manager Mobile(EPMM)中两个可被组合利用实现远程代码执行的安全漏洞。
被修复的漏洞包括:
...
Ivanti 关键漏洞遭积极利用,部署 TRAILBLAZE 和 BRUSHFIRE 恶意软件
HackerNews 编译,转载请注明出处:
Ivanti披露了一个已修补的关键安全漏洞,该漏洞影响其Connect Secure,且已被积极利用。
...
RESURGE 恶意软件利用 Ivanti 漏洞,具备根kit和网页后门功能
HackerNews 编译,转载请注明出处:
美国网络安全和基础设施安全局(CISA)披露了一种名为 RESURGE 的新型恶意软件,该软件已被用于针对 Ivanti Connect Secure(ICS)设备上一个现已修复的安全漏洞的攻击活动。
...
新型恶意软件 RESURGE 利用 Ivanti 漏洞部署多种攻击功能
HackerNews 编译,转载请注明出处:
美国网络安全和基础设施安全局(CISA)披露了一种名为“RESURGE”的新型恶意软件,该软件被用于攻击Ivanti Connect Secure(ICS)设备中已修复的安全漏洞。
...
Ivanti 修复 Connect Secure 与 Policy Secure 中的三项严重漏洞
HackerNews 编译,转载请注明出处:
Ivanti发布了针对Ivanti Connect Secure(ICS)、Ivanti Policy Secure(IPS)和Ivanti Secure Access Client(ISAC)的安全更新,修复了多个漏洞,其中包括三项严重漏洞。
该公司通过其负责任的披露计划,收到了来自CISA、Akamai的安全研究人员以及HackerOne漏洞赏金平台的报告,才得知这些漏洞。
Ivanti在安全公告中指出,尚未收到这些问题在实际环境中被积极利用的报告。然而,Ivanti建议用户尽快安装安全更新。
...
Ivanti 警告:Connect Secure 新漏洞遭零日攻击利用
HackerNews 编译,转载请注明出处:
Ivanti发出警告,黑客在零日攻击中利用了Connect Secure远程代码执行漏洞(CVE-2025-0282),在设备上安装了恶意软件。
该公司表示,在Ivanti Integrity Checker Tool(ICT)检测到客户设备上的恶意活动后,他们意识到了这一漏洞。Ivanti随即展开调查,并确认威胁行为者正在积极利用CVE-2025-0282作为零日漏洞。
CVE-2025-0282是一个严重(9.0分)的栈溢出漏洞,存在于Ivanti Connect Secure 22.7R2.5版本之前、Ivanti Policy Secure 22.7R1.2版本之前以及Ivanti Neurons for ZTA网关22.7R2.3版本之前的版本中,允许未经身份验证的攻击者远程在设备上执行代码。
尽管该漏洞影响了这三款产品,但Ivanti表示,他们目前仅发现Ivanti Connect Secure设备受到了该漏洞的利用。
Ivanti的一篇博客文章写道:“在披露时,我们已知有少数客户的Ivanti Connect Secure设备受到了CVE-2025-0282的利用。”
“我们尚未发现CVE在Ivanti Policy Secure或Neurons for ZTA网关中被利用。”
Ivanti已紧急为Ivanti Connect Secure发布了安全补丁,该补丁已在固件版本22.7R2.5中解决。
然而,根据今日发布的安全公告,Ivanti Policy Secure和Ivanti Neurons for ZTA网关的补丁将于2025年1月21日发布。
Ivanti Policy Secure:此解决方案不面向互联网,因此被利用的风险显著降低。Ivanti Policy Secure的修复计划于2025年1月21日发布,并将在标准下载门户中提供。客户应始终确保其IPS设备根据Ivanti的建议进行配置,且不暴露于互联网。我们尚未发现CVE在Ivanti Policy Secure中被利用。
Ivanti Neurons for ZTA网关:在生产环境中,Ivanti Neurons ZTA网关无法被利用。如果为该解决方案生成的网关未连接到ZTA控制器,则存在该生成网关被利用的风险。修复计划于2025年1月21日发布。我们尚未发现CVE在ZTA网关中被利用。
该公司建议所有Ivanti Connect Secure管理员执行内部和外部ICT扫描。
如果扫描结果正常,Ivanti仍建议管理员在升级到Ivanti Connect Secure 22.7R2.5之前进行出厂重置。
但是,如果扫描结果显示存在安全漏洞,Ivanti表示,出厂重置应能移除已安装的恶意软件。然后,应使用22.7R2.5版本将设备重新投入生产。
今日的安全更新还修复了另一个被追踪为CVE-2025-0283的漏洞,Ivanti表示,该漏洞目前尚未被利用或与CVE-2025-0282结合使用。此漏洞允许经过身份验证的本地攻击者提升权限。
由于Ivanti正与Mandiant和微软威胁情报中心合作调查这些攻击,我们很快就会看到有关检测到的恶意软件的报告。
BleepingComputer就这些攻击向Ivanti提出了进一步的问题,并在收到回复后更新本文。
今年10月,Ivanti发布了安全更新,修复了三个在攻击中被积极利用的Cloud Services Appliance(CSA)零日漏洞。
...
Ivanti 修复了其 CSA 解决方案中的一个最高严重性漏洞
Ivanti 解决了其云服务设备(CSA)解决方案中的一个关键身份验证绕过漏洞。
Ivanti 解决了影响其云服务设备(CSA)解决方案的一个关键身份验证绕过漏洞,该漏洞被追踪为 CVE-2024-11639(CVSS 评分 10)。
...