美国网络安全和基础设施安全局(CISA)周四发布公告,披露在一起针对某未具名组织网络的攻击中,发现了两组恶意软件。这些恶意软件是在攻击者利用 Ivanti Endpoint Manager Mobile (EPMM) 漏洞后植入的。
CISA 表示:
“每组恶意文件都包含用于部署恶意监听器的加载器,使网络威胁行为者能够在受感染服务器上运行任意代码。”
此次攻击中被利用的漏洞包括 CVE-2025-4427 和 CVE-2025-4428,这两个漏洞在 Ivanti 于 2025 年 5 月 修复之前已作为 0day 被滥用。
- CVE-2025-4427:身份验证绕过漏洞,允许攻击者访问受保护资源。
- CVE-2025-4428:远程代码执行漏洞。
这两个漏洞可以被链式利用,使攻击者在无需身份验证的情况下在易受攻击的设备上执行任意代码。
根据 CISA 的调查,威胁行为者在 2025 年 5 月 15 日前后 成功利用这两个漏洞,并借助当时公开的 PoC(概念验证代码) 攻击了一台运行 EPMM 的服务器。
攻击者随后执行了一系列命令,包括:
- 收集系统信息;
- 下载恶意文件;
- 列出根目录内容;
- 扫描和映射网络;
- 执行脚本以生成 heapdump;
- 转储 LDAP 凭据。
进一步分析发现,威胁行为者向 /tmp 目录投放了两组恶意文件,它们都能通过注入并运行任意代码实现持久化:
-
Set 1:
web-install.jar(Loader 1)、ReflectUtil.class、SecurityHandlerWanListener.class -
Set 2:
web-install.jar(Loader 2)、WebAndroidAppInstaller.class
具体机制如下:
- 1. 两组文件都包含一个 加载器,该加载器会启动一个恶意编译的 Java 类监听器,拦截特定的 HTTP 请求,并对其中的负载进行解码和解密,随后执行。
- 2. ReflectUtil.class 会操纵 Java 对象,将恶意监听器 SecurityHandlerWanListener 注入并加载到 Apache Tomcat 中。该监听器会拦截 HTTP 请求,对其负载进行解码和解密,然后动态创建并执行新的类。
- 3. WebAndroidAppInstaller.class 的工作方式稍有不同:它会使用硬编码的密钥从请求中提取并解密密码参数,再根据解密内容定义并实现新类。新类执行的结果会用同一密钥加密,并以加密响应的形式返回。
最终结果是:攻击者能够在服务器上注入并执行任意代码,从而开展后续恶意活动、维持持久化,并通过拦截和处理 HTTP 请求实现数据外泄。
防护建议:
- 组织应立即将 EPMM 升级至最新版本;
- 持续监控可疑活动迹象;
- 对移动设备管理(MDM)系统实施必要的访问限制,防止未经授权的入侵。
发表评论
您还未登录,请先登录。
登录