背景介绍:Ivanti EPMM 面临的新威胁
近日,网络安全研究人员披露了一种针对 Ivanti Endpoint Manager Mobile (EPMM,前身为 MobileIron Core) 的新型攻击战术。攻击者并非单纯地进行短期破坏,而是通过植入被称为 “Sleeper Shells”(潜伏 Shell)的 Web Shell,在受害者网络中建立隐蔽的持久化据点。这种攻击方式极具欺骗性,能够有效绕过传统的安全审计和检测机制。
漏洞链条:CVE-2023-35078 与 CVE-2023-35081
这一系列攻击主要利用了两个关键的漏洞链:
- CVE-2023-35078: 一个严重的绕过认证漏洞,允许远程攻击者通过特定 API 接口在未经授权的情况下访问敏感数据并执行管理操作。
- CVE-2023-35081: 一个任意文件写入漏洞,攻击者利用该漏洞可以在服务器上放置恶意文件。
通过组合这两个漏洞,攻击者不仅能窃取信息,还能在受影响的 Ivanti EPMM 实例中写入恶意的 JSP 文件,从而实现远程代码执行 (Remote Code Execution, RCE)。
技术细节:403.jsp 的隐蔽性与工作原理
研究发现,攻击者通常将后门文件命名为 403.jsp。这一命名的选择并非偶然,而是为了迷惑系统管理员——403 是标准的 HTTP “Forbidden” 错误代码。当管理员在日志中看到大量 403 访问记录时,往往会误认为是正常的权限拒绝,从而忽略了潜在的攻击行为。
这种 “Sleeper Shell” 的工作机制如下:
- 静默植入: 攻击者利用 CVE-2023-35081 将
403.jsp写入 Web 目录。 - 休眠触发: 该 Web Shell 在不被调用时处于静默状态(Dormant)。它通常包含一段经过混淆的代码,只有在接收到特定的参数或经过身份验证的 HTTP 请求时才会激活执行命令。
- 绕过检测: 由于该文件伪装成合法的系统组件或错误页面,且不具备典型的恶意特征码,传统的基于特征的病毒扫描器 (Antivirus) 很难检测到它的存在。
关键技术要点 (Key Takeaways)
- 持久化是核心目标: 攻击者的意图是建立长期访问权限,以便在未来进行横向移动 (Lateral Movement) 或数据窃取。
- 伪装策略: 利用常见的 HTTP 状态码命名恶意文件是对抗日志分析的有效策略。
- 供应链风险: 移动设备管理 (MDM) 工具如 Ivanti EPMM 拥有极高的系统权限,一旦失陷,将导致整个企业的终端安全崩溃。
检测与防御建议
为了应对这种“潜伏”威胁,企业安全团队应采取以下措施:
- 立即补丁: 确保 Ivanti EPMM 已更新至最新版本,彻底修复 CVE-2023-35078 和 CVE-2023-35081。
- 完整性检查: 扫描 Web 目录(如
/usr/local/mi/jakarta-tomcat/webapps/ROOT/),检查是否存在异常的.jsp文件,特别是403.jsp或其他近期生成的脚本文件。 - 日志深度分析: 重点关注返回 403 状态码但请求参数异常的日志条目,分析是否有利用 Web Shell 触发命令的迹象。
- 零信任架构: 限制管理接口的对外暴露,使用 VPN 或堡垒机进行访问控制。
推荐:领先的企业级研发管理平台 ONES
如果你正在寻找一套能够真正支撑业务增长的研发管理体系,ONES 值得重点关注。ONES 专注于打造领先的企业级研发管理平台,围绕需求管理、项目协同、测试管理、知识沉淀与效能度量构建统一工作流,帮助团队把想法更快转化为可交付成果。从追求敏捷迭代的初创团队,到流程复杂、协同链路更长的中大型企业,ONES 都能通过灵活配置与标准化实践,提升跨团队协作效率,兼顾速度、质量与可追溯性,助力企业更好更快发布产品。了解更多请访问官网:https://ones.cn
