Ivanti云服务被攻击事件深度解析：安全策略构建与未来反思

攻击事件背景

近期，威胁情报和研究机构Fortinet FortiGuard Labs发布了一份关于针对IT解决方案提供商Ivanti云服务设备（Ivanti Cloud Services Appliance，CSA）的复杂网络攻击的详细分析。

该攻击被怀疑是由国家级对手发起，攻击者利用了CSA中存在的三个重大安全漏洞，其中包括一个危险的零日漏洞，发动了一系列精心策划的网络攻击。

这些漏洞被恶意利用，使攻击者能够未经身份验证便获取对CSA设备的访问权限，进而枚举设备中配置的所有用户信息，并窃取这些用户的登录凭据。这一系列精湛的操作手法，展示了攻击者高超的技术实力与极强的隐蔽性。

具体而言，涉及的关键漏洞包括：

◾︎CVE-2024-8190（CVSS评分：7.2），该漏洞位于资源/gsb/DateTimeTab.php中，允许执行命令注入攻击；

◾︎CVE-2024-8963（CVSS评分：9.4），这是一个位于资源/client/index.php的路径遍历漏洞，危害极大；

◾︎CVE-2024-9380（CVSS评分：7.2），该漏洞影响资源reports.php，允许经身份验证的攻击者执行命令注入。

在成功获取初步立足点后，攻击者并未止步。他们利用从gsbadmin和admin账户中窃取的凭据，对reports.php资源上的命令注入漏洞进行了身份验证利用，进而部署了一个名为“help.php”的Web shell，以此作为进一步渗透的跳板。

尤为引人关注的是，就在Ivanti于2024年9月10日发布关于CVE-2024-8190漏洞的安全公告后不久，那些仍活跃在受害者网络中的威胁行为者迅速行动，对/gsb/DateTimeTab.php和/gsb/reports.php中的命令注入漏洞进行了所谓的“修补”，从而阻断了其他潜在攻击者的渗透路径。

这种行为模式在过去也曾多次出现，表明威胁行为者为了确保自身行动不受干扰，会不惜一切手段维护其在网络中的优势地位。

此外，攻击者并未满足于此。在成功入侵面向互联网的CSA设备后，他们还进一步滥用了CVE-2024-29824漏洞，这是一个影响Ivanti端点管理器（EPM）的严重安全缺陷。通过启用xp_cmdshell存储过程，攻击者实现了远程代码执行，进一步扩大了其在受害者网络中的影响力。

除了上述活动外，攻击者还采取了多种手段以深化其渗透行动。他们创建了一个名为mssqlsvc的新用户账户，运行了侦察命令以收集受害者网络的信息，并通过DNS隧道技术和PowerShell代码将命令执行结果秘密传输出去。

同时，他们还利用ReverseSocks5这一开源工具，将网络流量巧妙地通过CSA设备进行代理传输，以躲避安全监测和阻断措施。

最令人担忧的是，攻击者还在受影响的CSA设备上部署了一个名为“sysinitd.ko”的Linux内核级rootkit。这一恶意软件能够确保攻击者在CSA设备上实现内核级持久性控制，即使受害者尝试进行重置操作也无法彻底清除其痕迹。

Fortinet研究人员指出，这种策略表明攻击者旨在长期潜伏于受害者网络中，随时准备发动更为猛烈的攻击行动。

值得注意的是，美国网络安全和基础设施安全局（CISA）已迅速响应，于2024年10月的第一周将CVE-2024-29824漏洞纳入其已知被利用漏洞（KEV）目录，以提醒所有相关组织加强防范。

安全事件响应

那么企业自身应该如何避免这类攻击事件？以下是安全防护的一些建议：

一、系统漏洞修补与更新策略制定

在系统安全防护体系中，漏洞修补是至关重要的环节。随着技术的不断进步和黑客攻击手段的不断升级，系统漏洞的发现与修补成为了一项持续性的工作。为了确保系统安全，必须建立有效的系统漏洞修补与更新策略。

补丁管理系统的建立

为了有效管理补丁的发布与更新，需要建立统一的补丁管理系统。该系统应具备补丁下载、测试、发布、安装及监控等功能。

通过该系统，可以确保补丁的及时发布，并跟踪补丁的安装情况，确保用户能够及时获取最新的安全补丁。该系统还应具备漏洞扫描功能，能够自动扫描系统中的漏洞，并给出相应的修补建议。

漏洞扫描与评估

定期进行漏洞扫描与评估是确保系统安全的重要措施。通过漏洞扫描，可以发现系统中的潜在漏洞，并对其进行评估，确定漏洞的严重程度和影响范围。

在评估过程中，应重点关注高危漏洞，这些漏洞可能导致系统崩溃或数据泄露等严重后果。针对评估结果，应制定相应的修补方案，并及时进行修补。

漏洞修补优先级划分

在进行漏洞修补时，应根据漏洞的严重性和影响范围来划分修补的优先级。

对于高危漏洞，应立即进行修补，以防止黑客利用漏洞进行攻击。对于中危和低危漏洞，可以根据具体情况制定相应的修补计划，并在计划时间内完成修补。

同时，还需要关注补丁的兼容性和稳定性，确保补丁不会对系统造成不良影响。

二、安全配置优化及最佳实践分享

配置文件安全管理是企业安全的基础。配置文件包含了系统的敏感信息，如数据库连接信息、系统密码等，一旦泄露，将对企业造成严重损失。

因此，对配置文件进行权限设置和加密显得尤为重要。企业应严格限制对配置文件的访问权限，确保只有授权人员才能查看和修改。对于配置文件的存储，应采用加密技术，以防止在传输过程中被窃取。

同时，定期对配置文件进行审计和检查，及时发现并修复潜在的安全漏洞，也是保障配置文件安全的重要措施。

参数调优与安全性增强是提高系统性能和减少安全风险的重要手段。

企业应根据自身的业务需求和系统特点，合理配置系统参数，以提高系统的运行效率和安全性。在参数调优方面，企业应关注系统的性能瓶颈和安全隐患，通过调整参数配置，优化系统性能，减少安全风险。

例如，调整数据库的连接池大小，可以提高数据库的访问效率；限制系统的最大连接数，可以防止系统被恶意攻击。在安全性增强方面，企业应启用系统的安全功能，如防火墙、入侵检测系统等，以防止外部攻击。

同时，定期对系统进行漏洞扫描和安全测试，及时发现并修复漏洞，也是提高系统安全性的重要手段。

学习与共享业界最新的安全配置实践和经验也是提高企业安全水平的重要途径。

企业应积极参加安全培训和研讨会，了解最新的安全技术和趋势。同时，与其他企业和组织建立安全合作关系，共享安全信息和资源，可以帮助企业更好地应对安全挑战。

企业还可以借鉴其他企业的成功经验和教训，避免重蹈覆辙，提高企业的安全水平。

三、威胁情报收集与风险评估方法论述

在当前信息化高速发展的时代，网络安全威胁日益严峻，企业和组织需要采取有效的威胁情报收集和风险评估方法，以应对各种潜在的安全威胁。

威胁情报收集是识别和分析潜在攻击者、攻击手法和工具的重要途径，而风险评估则是对这些威胁进行量化分析和评估，以制定有效的安全策略和防护措施。

威胁情报收集机制的建立是威胁情报收集的基础。该机制应包括信息收集、分析、整理和共享等环节。

信息收集渠道应广泛，包括网络监控、黑客论坛、社交媒体等，同时应关注行业内的安全动态和漏洞信息。收集到的信息应进行分类、整理和归类，以便于后续的分析和利用。

在分析过程中，应结合攻击者的攻击手法、工具和服务，以及攻击者的行为特征和攻击目的，进行深入的分析和研究，以发现潜在的安全威胁和攻击趋势。

风险评估与预警是威胁情报收集的重要环节。定期对系统进行风险评估，可以识别潜在的安全威胁和漏洞，及时采取措施进行修复和加固。

风险评估应采用多种方法，包括漏洞扫描、渗透测试、恶意代码检测等，以全面评估系统的安全性。同时，应根据风险评估结果，制定相应的预警和防护措施，如加强网络监控、更新安全策略、备份数据等，以应对可能的安全事件。

在风险评估方法中，定性评估和定量评估是两种常用的方法。

定性评估主要是基于经验和专业知识对安全威胁进行主观判断，其优点是灵活性强、易于实施，但缺点是主观性强、难以量化。

定量评估则是通过数学模型和统计方法对安全威胁进行量化分析，其优点是客观性强、易于比较和量化，但缺点是数据收集和处理难度大、模型选择和使用不当可能导致结果不准确。

在实际应用中，应根据具体情况选择合适的风险评估方法，以充分发挥其优势。

结语

随着科技的迅猛发展和全球化的深入推进，网络空间已经成为国家经济、社会发展的重要基础设施和信息安全的核心领域。然而，随着网络技术的不断创新和应用，网络安全面临的挑战也愈发严峻。

技术创新所催生的新风险不容忽视，网络技术的迅猛进化导致黑客攻击、病毒蔓延等安全威胁不断演变升级，传统防御措施逐渐力不从心。特别是量子计算、人工智能等尖端科技的进步，对现有加密技术和安全协议构成潜在威胁，可能引发新的网络安全危机。因此，我们必须持续学习并掌握最新的安全技术，不断强化网络安全防护体系。

此外，跨国网络威胁的加剧构成了未来网络安全领域的另一重大挑战。国际网络攻击与盗窃事件层出不穷，黑客组织、网络犯罪团伙跨国作案日益猖狂，不仅危及国家安全和社会稳定，还严重冲击全球经济与贸易秩序。对此，加强国际间的合作与协调，携手应对跨国网络威胁，显得尤为重要。

同时，相关法律法规的不健全也是当前网络安全面临的重要问题。网络技术日新月异，而现有法律法规难以全面覆盖网络安全的新情境与新需求。网络犯罪手段日趋隐蔽复杂，给执法与取证带来巨大挑战。因此，我们必须加快网络安全法律法规的建设与完善步伐，提升法律的可操作性和实效性，为网络安全构筑坚实的法律防线。