随着 Ivanti 应对新一轮零日漏洞,问题越来越多
快速阅读: 据《Cyber Scoop 独家新闻》称,多个攻击者利用伊凡蒂EPMM中的两个漏洞实施远程代码执行攻击,UNC5221组织频繁涉及。伊凡蒂称漏洞源于开源库,但研究员认为其为自身代码问题导致,呼吁公司更透明。
多个攻击者再次利用伊凡蒂(Ivanti)端点管理器移动版(EPMM)中的两个紧密相关的漏洞,对伊凡蒂客户系统展开攻击,以实现未经身份验证的远程代码执行。这两个软件缺陷——CVE-2025-4427 和 CVE-2025-4428——在伊凡蒂披露并修复这些漏洞之前被作为零日漏洞加以利用。伊凡蒂在5月13日的安全公告中表示:“我们知道在漏洞披露时,极少数客户的解决方案已被利用。”自那以后,攻击数量激增,遵循了典型的模式,即民族国家威胁组织快速猛烈地利用漏洞,为网络犯罪分子随后跟进留下窗口期。
Eclectiq IQ的研究人员将几乎所有针对互联网暴露的伊凡蒂EPMM部署的近20次攻击归因于与中国有关联的间谍组织UNC5221,该组织自2023年以来多次攻击伊凡蒂客户。该威胁组织的最新攻击浪潮标志着其在不到三年内第四次利用伊凡蒂产品的零日漏洞。受害者遍布欧洲、北美和亚太地区的关键行业,包括一家“专注于移动威胁防御和企业安全防御的网络安全公司”,Eclectiq IQ的威胁情报分析师阿尔达·布尤克卡亚在5月21日发布的博客文章中提到。根据Eclectiq IQ的说法,UNC5221还从德国最大的电信提供商、英国的医疗保健组织、一家爱尔兰的航空航天租赁公司、北美的一家国家医疗和制药供应商、一家美国的枪械制造商以及一家管理休斯敦机场系统的运输组织那里窃取数据。
GreyNoise首次于4月23日警告称,其他伊凡蒂产品扫描活动增加了九倍,并在过去一周观察到越来越多的独特IP地址试图利用伊凡蒂EPMM中的这两处漏洞。自5月16日开始扫描漏洞利用尝试以来,GreyNoise已经观察到16个独特的恶意IP地址,其中包括自周二以来的10个。伊凡蒂客户持续成为目标。
伊凡蒂的安全产品和服务被许多高价值目标使用,包括政府机构和关键基础设施提供商。该公司的广泛覆盖范围使其客户成为网络罪犯和民族国家攻击者的攻击目标。网络边缘设备——防火墙、虚拟专用网(VPN)和路由器——是攻击者频繁且反复的目标,但自2024年以来,伊凡蒂及其客户面临的挑战尤为突出,比该领域的任何其他厂商都更频繁地发生。数据显示,自2021年以来,伊凡蒂在至少10个不同的产品线中发布了带有大量漏洞的软件,这使该公司成为屡犯者。网络安全和基础设施安全局(CISA)已知的被利用漏洞目录中包含过去四年内伊凡蒂的30个漏洞,其中八个已知被用于勒索软件攻击。据网络安全当局称,今年已有七种伊凡蒂产品的漏洞被攻击者利用。数据显示,自2021年以来,伊凡蒂在至少10个不同的产品线中发布了带有大量漏洞的软件,这使该公司成为屡犯者。
尽管伊凡蒂面临安全困境,但该公司仍获得了分析员、事件响应专家和研究人员的广泛理解,他们要么捍卫伊凡蒂,要么对其作为受攻击的安全供应商的地位表示同情。“确实存在一种伊凡蒂产品被针对的模式,但我认为这并不一定反映其安全态势,而是因为一些人正试图突破这些极其渴望进入的组织,”Rapid7的员工安全研究员瑞安·埃蒙斯告诉CyberScoop。最新的CVE根源问题受到质疑。
伊凡蒂采取了不同的方式来归咎于CVE-2025-4427和CVE-2025-4428的根源问题,声称这些漏洞与集成到伊凡蒂EPMM中的两个未命名的开源库相关。“我们已经发布了一个修复程序,用于解决我们在本地端点管理器移动产品中使用的开源库相关的漏洞,”伊凡蒂发言人向CyberScoop表示。“我们正在积极与我们的安全合作伙伴和库的维护者合作,确定是否需要针对这些库分配CVE,”发言人补充道。“我们仍然致力于与利益相关者和更广泛的网络安全生态系统保持协作和透明。”
然而,通过为其自身分配CVE并对这些漏洞进行内部修补,伊凡蒂至少声称对其角色和所有权承担了一定程度的责任,威胁研究人员表示。通常情况下,当在开源库中发现漏洞时,会为库本身的漏洞分配CVE,埃蒙斯说。很多时候,对于漏洞最终是由供应商的软件、第三方库还是供应商对开源软件的实现引起的,存在一些模糊性。伊凡蒂坚持认为这些漏洞完全与开源库中的未指定安全问题相关。
通常情况下,当在开源库中发现漏洞时,会为库本身的漏洞分配CVE,埃蒙斯说。“伊凡蒂正在与库的维护者就这些库的CVE进行持续讨论,”公司发言人说。WatchTowr的首席执行官本·哈里斯表示,他和他的同事对伊凡蒂如何描述这些漏洞感到困惑和惊讶,称该公司的解释“近乎不真诚”。
WatchTowr的研究人员重现了CVE-2025-4427和CVE-2025-4428,并对伊凡蒂如何分类这些漏洞以及描述其根源提出了异议。“漏洞的根源是软件库的误用,”哈里斯说。“他们知道这不是他们在使用的库中的零日漏洞,但这是由于他们的代码错误使用了该库,从而引入了这种弱点。”
研究人员表示,利用这两个漏洞所需的步骤相对简单,不是复杂的链条。“这些漏洞被描述为一个两步链,但实际上更像是一个单一请求,点对点操作,”埃蒙斯说。“它并没有那么多的多阶段过程。更多是关于根源问题。”伊凡蒂描述为认证绕过缺陷的漏洞CVE-2025-4427允许攻击者无需认证即可访问web API端点,因为在伊凡蒂的代码中没有强制执行对该API端点的访问控制,研究人员告诉CyberScoop。“根据我们看到的代码,不存在绕过。它根本不存在,”哈里斯说,并补充道,CVE-2025-4427应更准确地描述为操作顺序错误漏洞。
Rapid7和WatchTowr确定,通过CVE-2025-4427向web服务器发出单个请求获得的访问权限,允许攻击者无需额外步骤即可通过CVE-2025-4428发起未经认证的远程代码执行。“我们正在看不同的现实版本,”哈里斯说。“很难将其视为其他任何东西,除了自我造成的损害。”
(以上内容均由Ai生成)
