攻擊事件背景

近期，威脅情報和研究機構Fortinet FortiGuard Labs發(fā)布了一份關于針對IT解決方案提供商Ivanti云服務設備（Ivanti Cloud Services Appliance，CSA）的復雜網(wǎng)絡攻擊的詳細分析。

該攻擊被懷疑是由國家級對手發(fā)起，攻擊者利用了CSA中存在的三個重大安全漏洞，其中包括一個危險的零日漏洞，發(fā)動了一系列精心策劃的網(wǎng)絡攻擊。

這些漏洞被惡意利用，使攻擊者能夠未經(jīng)身份驗證便獲取對CSA設備的訪問權限，進而枚舉設備中配置的所有用戶信息，并竊取這些用戶的登錄憑據(jù)。這一系列精湛的操作手法，展示了攻擊者高超的技術實力與極強的隱蔽性。

具體而言，涉及的關鍵漏洞包括：

??CVE-2024-8190（CVSS評分：7.2），該漏洞位于資源/gsb/DateTimeTab.php中，允許執(zhí)行命令注入攻擊；

??CVE-2024-8963（CVSS評分：9.4），這是一個位于資源/client/index.php的路徑遍歷漏洞，危害極大；

??CVE-2024-9380（CVSS評分：7.2），該漏洞影響資源reports.php，允許經(jīng)身份驗證的攻擊者執(zhí)行命令注入。

在成功獲取初步立足點后，攻擊者并未止步。他們利用從gsbadmin和admin賬戶中竊取的憑據(jù)，對reports.php資源上的命令注入漏洞進行了身份驗證利用，進而部署了一個名為“help.php”的Web shell，以此作為進一步滲透的跳板。

尤為引人關注的是，就在Ivanti于2024年9月10日發(fā)布關于CVE-2024-8190漏洞的安全公告后不久，那些仍活躍在受害者網(wǎng)絡中的威脅行為者迅速行動，對/gsb/DateTimeTab.php和/gsb/reports.php中的命令注入漏洞進行了所謂的“修補”，從而阻斷了其他潛在攻擊者的滲透路徑。

這種行為模式在過去也曾多次出現(xiàn)，表明威脅行為者為了確保自身行動不受干擾，會不惜一切手段維護其在網(wǎng)絡中的優(yōu)勢地位。

此外，攻擊者并未滿足于此。在成功入侵面向互聯(lián)網(wǎng)的CSA設備后，他們還進一步濫用了CVE-2024-29824漏洞，這是一個影響Ivanti端點管理器（EPM）的嚴重安全缺陷。通過啟用xp_cmdshell存儲過程，攻擊者實現(xiàn)了遠程代碼執(zhí)行，進一步擴大了其在受害者網(wǎng)絡中的影響力。

除了上述活動外，攻擊者還采取了多種手段以深化其滲透行動。他們創(chuàng)建了一個名為mssqlsvc的新用戶賬戶，運行了偵察命令以收集受害者網(wǎng)絡的信息，并通過DNS隧道技術和PowerShell代碼將命令執(zhí)行結果秘密傳輸出去。

同時，他們還利用ReverseSocks5這一開源工具，將網(wǎng)絡流量巧妙地通過CSA設備進行代理傳輸，以躲避安全監(jiān)測和阻斷措施。

最令人擔憂的是，攻擊者還在受影響的CSA設備上部署了一個名為“sysinitd.ko”的Linux內(nèi)核級rootkit。這一惡意軟件能夠確保攻擊者在CSA設備上實現(xiàn)內(nèi)核級持久性控制，即使受害者嘗試進行重置操作也無法徹底清除其痕跡。

Fortinet研究人員指出，這種策略表明攻擊者旨在長期潛伏于受害者網(wǎng)絡中，隨時準備發(fā)動更為猛烈的攻擊行動。

值得注意的是，美國網(wǎng)絡安全和基礎設施安全局（CISA）已迅速響應，于2024年10月的第一周將CVE-2024-29824漏洞納入其已知被利用漏洞（KEV）目錄，以提醒所有相關組織加強防范。

安全事件響應

那么企業(yè)自身應該如何避免這類攻擊事件？以下是安全防護的一些建議：

一、系統(tǒng)漏洞修補與更新策略制定

在系統(tǒng)安全防護體系中，漏洞修補是至關重要的環(huán)節(jié)。隨著技術的不斷進步和黑客攻擊手段的不斷升級，系統(tǒng)漏洞的發(fā)現(xiàn)與修補成為了一項持續(xù)性的工作。為了確保系統(tǒng)安全，必須建立有效的系統(tǒng)漏洞修補與更新策略。

補丁管理系統(tǒng)的建立

為了有效管理補丁的發(fā)布與更新，需要建立統(tǒng)一的補丁管理系統(tǒng)。該系統(tǒng)應具備補丁下載、測試、發(fā)布、安裝及監(jiān)控等功能。

通過該系統(tǒng)，可以確保補丁的及時發(fā)布，并跟蹤補丁的安裝情況，確保用戶能夠及時獲取最新的安全補丁。該系統(tǒng)還應具備漏洞掃描功能，能夠自動掃描系統(tǒng)中的漏洞，并給出相應的修補建議。

漏洞掃描與評估

定期進行漏洞掃描與評估是確保系統(tǒng)安全的重要措施。通過漏洞掃描，可以發(fā)現(xiàn)系統(tǒng)中的潛在漏洞，并對其進行評估，確定漏洞的嚴重程度和影響范圍。

在評估過程中，應重點關注高危漏洞，這些漏洞可能導致系統(tǒng)崩潰或數(shù)據(jù)泄露等嚴重后果。針對評估結果，應制定相應的修補方案，并及時進行修補。

漏洞修補優(yōu)先級劃分

在進行漏洞修補時，應根據(jù)漏洞的嚴重性和影響范圍來劃分修補的優(yōu)先級。

對于高危漏洞，應立即進行修補，以防止黑客利用漏洞進行攻擊。對于中危和低危漏洞，可以根據(jù)具體情況制定相應的修補計劃，并在計劃時間內(nèi)完成修補。

同時，還需要關注補丁的兼容性和穩(wěn)定性，確保補丁不會對系統(tǒng)造成不良影響。

二、安全配置優(yōu)化及最佳實踐分享

配置文件安全管理是企業(yè)安全的基礎。配置文件包含了系統(tǒng)的敏感信息，如數(shù)據(jù)庫連接信息、系統(tǒng)密碼等，一旦泄露，將對企業(yè)造成嚴重損失。

因此，對配置文件進行權限設置和加密顯得尤為重要。企業(yè)應嚴格限制對配置文件的訪問權限，確保只有授權人員才能查看和修改。對于配置文件的存儲，應采用加密技術，以防止在傳輸過程中被竊取。

同時，定期對配置文件進行審計和檢查，及時發(fā)現(xiàn)并修復潛在的安全漏洞，也是保障配置文件安全的重要措施。

參數(shù)調(diào)優(yōu)與安全性增強是提高系統(tǒng)性能和減少安全風險的重要手段。

企業(yè)應根據(jù)自身的業(yè)務需求和系統(tǒng)特點，合理配置系統(tǒng)參數(shù)，以提高系統(tǒng)的運行效率和安全性。在參數(shù)調(diào)優(yōu)方面，企業(yè)應關注系統(tǒng)的性能瓶頸和安全隱患，通過調(diào)整參數(shù)配置，優(yōu)化系統(tǒng)性能，減少安全風險。

例如，調(diào)整數(shù)據(jù)庫的連接池大小，可以提高數(shù)據(jù)庫的訪問效率；限制系統(tǒng)的最大連接數(shù)，可以防止系統(tǒng)被惡意攻擊。在安全性增強方面，企業(yè)應啟用系統(tǒng)的安全功能，如防火墻、入侵檢測系統(tǒng)等，以防止外部攻擊。

同時，定期對系統(tǒng)進行漏洞掃描和安全測試，及時發(fā)現(xiàn)并修復漏洞，也是提高系統(tǒng)安全性的重要手段。

學習與共享業(yè)界最新的安全配置實踐和經(jīng)驗也是提高企業(yè)安全水平的重要途徑。

企業(yè)應積極參加安全培訓和研討會，了解最新的安全技術和趨勢。同時，與其他企業(yè)和組織建立安全合作關系，共享安全信息和資源，可以幫助企業(yè)更好地應對安全挑戰(zhàn)。

企業(yè)還可以借鑒其他企業(yè)的成功經(jīng)驗和教訓，避免重蹈覆轍，提高企業(yè)的安全水平。

三、威脅情報收集與風險評估方法論述

在當前信息化高速發(fā)展的時代，網(wǎng)絡安全威脅日益嚴峻，企業(yè)和組織需要采取有效的威脅情報收集和風險評估方法，以應對各種潛在的安全威脅。

威脅情報收集是識別和分析潛在攻擊者、攻擊手法和工具的重要途徑，而風險評估則是對這些威脅進行量化分析和評估，以制定有效的安全策略和防護措施。

威脅情報收集機制的建立是威脅情報收集的基礎。該機制應包括信息收集、分析、整理和共享等環(huán)節(jié)。

信息收集渠道應廣泛，包括網(wǎng)絡監(jiān)控、黑客論壇、社交媒體等，同時應關注行業(yè)內(nèi)的安全動態(tài)和漏洞信息。收集到的信息應進行分類、整理和歸類，以便于后續(xù)的分析和利用。

在分析過程中，應結合攻擊者的攻擊手法、工具和服務，以及攻擊者的行為特征和攻擊目的，進行深入的分析和研究，以發(fā)現(xiàn)潛在的安全威脅和攻擊趨勢。

風險評估與預警是威脅情報收集的重要環(huán)節(jié)。定期對系統(tǒng)進行風險評估，可以識別潛在的安全威脅和漏洞，及時采取措施進行修復和加固。

風險評估應采用多種方法，包括漏洞掃描、滲透測試、惡意代碼檢測等，以全面評估系統(tǒng)的安全性。同時，應根據(jù)風險評估結果，制定相應的預警和防護措施，如加強網(wǎng)絡監(jiān)控、更新安全策略、備份數(shù)據(jù)等，以應對可能的安全事件。

在風險評估方法中，定性評估和定量評估是兩種常用的方法。

定性評估主要是基于經(jīng)驗和專業(yè)知識對安全威脅進行主觀判斷，其優(yōu)點是靈活性強、易于實施，但缺點是主觀性強、難以量化。

定量評估則是通過數(shù)學模型和統(tǒng)計方法對安全威脅進行量化分析，其優(yōu)點是客觀性強、易于比較和量化，但缺點是數(shù)據(jù)收集和處理難度大、模型選擇和使用不當可能導致結果不準確。

在實際應用中，應根據(jù)具體情況選擇合適的風險評估方法，以充分發(fā)揮其優(yōu)勢。

結語

隨著科技的迅猛發(fā)展和全球化的深入推進，網(wǎng)絡空間已經(jīng)成為國家經(jīng)濟、社會發(fā)展的重要基礎設施和信息安全的核心領域。然而，隨著網(wǎng)絡技術的不斷創(chuàng)新和應用，網(wǎng)絡安全面臨的挑戰(zhàn)也愈發(fā)嚴峻。

技術創(chuàng)新所催生的新風險不容忽視，網(wǎng)絡技術的迅猛進化導致黑客攻擊、病毒蔓延等安全威脅不斷演變升級，傳統(tǒng)防御措施逐漸力不從心。特別是量子計算、人工智能等尖端科技的進步，對現(xiàn)有加密技術和安全協(xié)議構成潛在威脅，可能引發(fā)新的網(wǎng)絡安全危機。因此，我們必須持續(xù)學習并掌握最新的安全技術，不斷強化網(wǎng)絡安全防護體系。

此外，跨國網(wǎng)絡威脅的加劇構成了未來網(wǎng)絡安全領域的另一重大挑戰(zhàn)。國際網(wǎng)絡攻擊與盜竊事件層出不窮，黑客組織、網(wǎng)絡犯罪團伙跨國作案日益猖狂，不僅危及國家安全和社會穩(wěn)定，還嚴重沖擊全球經(jīng)濟與貿(mào)易秩序。對此，加強國際間的合作與協(xié)調(diào)，攜手應對跨國網(wǎng)絡威脅，顯得尤為重要。

同時，相關法律法規(guī)的不健全也是當前網(wǎng)絡安全面臨的重要問題。網(wǎng)絡技術日新月異，而現(xiàn)有法律法規(guī)難以全面覆蓋網(wǎng)絡安全的新情境與新需求。網(wǎng)絡犯罪手段日趨隱蔽復雜，給執(zhí)法與取證帶來巨大挑戰(zhàn)。因此，我們必須加快網(wǎng)絡安全法律法規(guī)的建設與完善步伐，提升法律的可操作性和實效性，為網(wǎng)絡安全構筑堅實的法律防線。