【安全资讯】Ivanti RCE攻击持续，云环境遭受影响

概要：

近期，Ivanti的两个漏洞被安全公司Wiz披露，攻击者已将其利用范围扩展至云环境。这两个漏洞分别为CVE-2025-4427和CVE-2025-4428，前者为认证绕过漏洞，后者为远程代码执行（RCE）漏洞，可能导致恶意软件在受影响的系统上运行，进而危害企业数据安全。

主要内容：

CVE-2025-4427和CVE-2025-4428漏洞影响Ivanti Endpoint Manager Mobile (EPMM)，该产品用于管理公司设备和应用程序。Wiz指出，自5月16日起，攻击者已在云环境中持续利用这些漏洞，目标是暴露的EPMM实例。虽然Ivanti在上周发布了补丁，并表示仅有少数客户受到影响，但Wiz的研究表明，攻击已扩展至云端。

攻击者利用这些漏洞，能够在受害者的云环境中部署名为Sliver的远程控制程序，Sliver被多种恶意组织广泛使用，包括勒索软件团伙。根据Wiz的分析，CVE-2025-4428源于Java表达式语言的不安全处理，而CVE-2025-4427则由于EPMM路由配置中的请求处理不当，导致未认证访问。

此外，Wiz还发现，攻击者使用的命令与控制服务器IP地址与之前针对Palo Alto Networks设备的攻击相同，表明同一攻击者可能在多个平台上进行活动。美国网络安全和基础设施安全局（CISA）已将这两个漏洞列入已知被利用漏洞目录，尽管单独来看它们的严重性评分不高，但结合使用时应被视为严重威胁。