Ivanti 服务器漏洞导致 DSLog 后门攻击

重点概述

几乎 700 台 Ivanti 服务器遭受新型 DSLog 后门的攻击，这些攻击利用了 Ivanti Connect Secure、PolicySecure 和 ZTA 网关的 SAML 组件中的 server-side request forgery 漏洞 (CVE-2024-21893)。研究人员警告称，受影响的系统必须立即进行修复。

根据 的报道，攻击者通过 SAML身份验证请求注入了 DSLog 后门，这些请求包含可以执行侦察的命令，旨在将 DSLog 后门植入未修补的 Ivanti 实例中。根据 OrangeCyberdefense 的报告，即使所有 API 端点都被阻止，攻击者仍然能够利用这些请求进行攻击。任何通过攻击者的 HTTP 请求提供的命令都可以被 DSLog 远程执行。此外，研究人员指出，请求中的唯一 SHA256 哈希也充当后门请求的身份验证器。为了隐瞒恶意活动，许多受影响的 Ivanti 实例的 ".access" 日志被删除。

研究人员的警告 ：近 20% 被发现的 Ivanti 服务器在涉及其他漏洞的攻击中也受到损害，因此组织应尽快采取措施保护其系统。

组织必须采取预防措施，加强对受到影响的 Ivanti系统的监控，并尽快应用适当的修复程序，以降低潜在的安全风险。确保采取有效的补救措施对于保护企业的网络安全至关重要。