【安全资讯】攻击者利用Ivanti CSA的开源工具

概要：

近期，CSIRT Synacktiv在处理网络安全事件时发现，攻击者利用Ivanti Cloud Services Appliance（CSA）的漏洞进行攻击。该事件涉及多个开源工具的使用，揭示了网络攻击的复杂性和潜在威胁，尤其是在金融和科技行业中。本文将深入分析这些工具的功能及其对网络安全的影响。

主要内容：

在2024年9月和10月，Ivanti发布了关于其Cloud Services Appliance（CSA）产品的多个安全公告，指出存在可被利用的安全漏洞。这些漏洞允许攻击者绕过安全策略并执行远程代码。FortiGuard Labs的研究显示，自2024年9月9日起，多个恶意团体开始积极利用这些漏洞，甚至在Ivanti发布补丁之前就已展开攻击。

CSIRT Synacktiv在调查中发现，攻击者在成功入侵Ivanti CSA后，使用了名为suo5的HTTP代理隧道工具，进一步渗透到暴露在互联网上的Exchange服务器。suo5工具的设计使得攻击者能够在网络中建立持久的访问点，利用其高效的性能绕过网络防御。

此外，攻击者还使用了名为iox的另一个隧道工具，旨在在Ivanti CSA上保持持久的访问。该工具不仅支持端口转发，还具备加密流量的能力，进一步增强了攻击的隐蔽性。通过这些工具，攻击者能够在受害者的内部网络中自由移动，执行远程代码，造成严重的安全隐患。

为了应对这些威胁，Synacktiv团队提出了针对这些开源工具的检测规则，旨在提高网络安全防护能力。随着网络攻击手段的不断演变，企业必须加强对新兴威胁的监测和响应能力，以保护自身的数字资产。