CISA和FBI警告，黑客使用两种先进的漏洞链来攻击 Ivanti 云服务设备 (CSA)

美国政府网络安全和执法部门透露，黑客组织使用至少两种复杂的漏洞链来攻击 Ivanti 云服务设备 (CSA)。

CISA和 FBI 发布联合咨询警告称，黑客利用四个 Ivanti 漏洞（CVE-2024-8963、CVE-2024-9379、CVE-2024-8190、CVE-2024-9380）实现远程代码执行、窃取凭据和部署 webshell。

这些机构还发布了与这些恶意活动相关的攻击检测指标 (IOC)。

攻击者利用两个漏洞链（CVE-2024-8963/-8190/-9380 和 CVE-2024-8963/-9379）攻击过时的 Ivanti CSA 版本，从而实现服务器的横向移动。

根据 CISA 和可信的第三方事件响应数据，攻击者利用漏洞获取初始访问权限，进行远程代码执行 (RCE)，获取凭据并在受害者网络上植入 webshell。攻击者的主要利用路径是两个漏洞链。

一个漏洞链利用了 CVE-2024-8963 以及 CVE-2024-8190 和 CVE-2024-9380，另一个利用了 CVE-2024-8963 和 CVE-2024-9379。在一次确认的入侵中，行为者横向移动到两台服务器。

该漏洞影响 Ivanti CSA 4.6x 519 之前的版本，其中 CVE-2024-9379 和 CVE-2024-9380 也影响 5.0.1 及以下版本。

该咨询报告指出，Ivanti CSA 4.6 版已终止使用，不再接收安全更新，因此这些实例容易受到黑客攻击。

该公告详细说明了利用上述漏洞的黑客活动。

攻击者利用 CVE-2024-8963 和 RCE 漏洞 CVE-2024-8190 和 CVE-2024-9380 获取访问权限、窃取凭据并植入 webshell 以保持持久性。然后，攻击者使用编码脚本来收集和解密管理员凭据，然后提升权限以执行命令并建立反向 C2 通道。政府专家收集了横向移动的证据，包括尝试访问 Jenkins 服务器并扫描漏洞。他们使用sudo命令来隐藏利用痕迹并保持持久性。

在另一个攻击实例中，攻击者利用 CVE-2024-8963 和 CVE-2024-9379 尝试 SQL 注入和创建 Webshell。受害者及时发现并补救了这些活动，从而阻止攻击继续进行。

该咨询报告提供了针对此次活动的缓解措施。

报告下载地址：

https://www.cisa.gov/sites/default/files/2025-01/aa25-022a-threat-actors-chained-vulnerabilities-in-ivanti-cloud-service-applications.pdf

新闻链接：

https://securityaffairs.com/173369/hacking/chinese-threat-actors-hack-ivanti-csa.html