美国政府警告云应用程序中的新漏洞利用

重点整理

• 美国网络安全和基础设施安全局 (CISA) 警告黑客正在利用多个云应用程序的漏洞进行攻击。
• Ivanti 版本 4.6 及更早版本存在多项漏洞，网络管理员应立即升级。
• 攻击者通过漏洞链获取敏感数据和凭据，可能导致严重的安全威胁。

美国政府近日发出警告，指出针对多种云应用程序的新漏洞利用 ，这可能对网络安全造成严重威胁。根据网络安全和基础设施安全局（CISA）的通报，攻击者正在将多个在 CVE 列表中的漏洞整合为一个单一的利用脚本。

所涉及的漏洞存在于 4.6版本及之前的版本。网络攻击者利用这些过时设备的状态来获取账户详细信息和凭据。

CISA 在其通报中表示：“Ivanti CSA 4.6 已经过时（EOL），不再接收安全补丁或第三方库。CISA 和 FBI强烈建议网络管理员升级至最新的 Ivanti CSA 受支持版本。”

此外，CISA 还建议网络防御者使用该通报中的检测方法和妥协指标（IOCs）对他们网络中的恶意活动进行监测。“存储在受影响的 Ivanti设备中的凭据和敏感数据应该被视为已被泄露。”

这些漏洞联合构成了一系列风险。

• 是一个管理绕过漏洞。
• 是一个 SQL 注入漏洞。
• 和 都是远程代码执行漏洞。

单独来看，这些漏洞并不被认为特别危险。然而，作为组合使用时，它们的危害性将大幅增加。攻击者可以利用这些漏洞，将访问权限从简单的权限提升攻击，提升到管理员权限的利用，再进一步进行远程代码接管攻击。

CISA 表示：“根据 CISA 和可信第三方事件响应数据，威胁行为者将上述漏洞链结合使用，获得了初始访问权限，执行 RCE，获取凭据，并在受害者网络中植入 webshell。”

“主要的利用路径包括两条漏洞链。一条利用链结合了 CVE-2024-8963 与 CVE-2024-8190 和 CVE-2024-9380。另一条则利用了 CVE-2024-8963 和 CVE-2024-9379。”

此类攻击尤其危险，因为许多安全专业人员和网络防护者会根据 CVSS 分数制定安全策略，而不是关注现实世界的威胁场景。

在规划网络安全演练时，蓝队往往只计划最高的 CVSS评分，而忽视将低级漏洞链入更高风险利用的影响。这为寻求在网络中找到立足点以获得长期访问权限的攻击者留下了巨大的漏洞。

这次攻击强调了网络管理员和防御者定期进行安全更新、监控网络中所有使用系统的重要性，无论这些系统看起来多么微不足道。