Ivanti 服务器漏洞导致 DSLog 后门攻击
重点概述
几乎 700 台 Ivanti 服务器遭受新型 DSLog 后门的攻击,这些攻击利用了 Ivanti Connect Secure、Policy Secure 和 ZTA 网关的 SAML 组件中的 serverside request forgery 漏洞 (CVE202421893)。研究人员警告称,受影响的系统必须立即进行修复。
根据 BleepingComputer 的报道,攻击者通过 SAML 身份验证请求注入了 DSLog 后门,这些请求包含可以执行侦察的命令,旨在将 DSLog 后门植入未修补的 Ivanti 实例中。根据 Orange Cyberdefense 的报告,即使所有 API 端点都被阻止,攻击者仍然能够利用这些请求进行攻击。任何通过攻击者的 HTTP 请求提供的命令都可以被 DSLog 远程执行。此外,研究人员指出,请求中的唯一 SHA256 哈希也充当后门请求的身份验证器。为了隐瞒恶意活动,许多受影响的 Ivanti 实例的 access 日志被删除。
漏洞信息详情漏洞类型Serverside request forgery受影响组件SAML 组件漏洞编号CVE202421893受影响的服务器数量Nearly 700修复建议立即对受影响的 Ivanti 系统进行修复研究人员的警告:近 20 被发现的 Ivanti 服务器在涉及其他漏洞的攻击中也受到损害,因此组织应尽快采取措施保护其系统。
组织必须采取预防措施,加强对受到影响的 Ivanti 系统的监控,并尽快应用适当的修复程序,以降低潜在的安全风险。确保采取有效的补救措施对于保护企业的网络安全至关重要。
旋风加速器下载免费版
