Ivanti Endpoint Manager Mobile(EPMM)重大漏洞 CVE-2026-1281 自 1 月底揭露以來,已引發大規模自動化掃描與利用攻擊。資安監測機構 Shadowserver Foundation 發出警告,指出針對該漏洞的利用嘗試正急速攀升。更令人擔憂的是,威脅情資業者 Greynoise 與 Defused Cyber 的分析顯示,疑似初始存取掮客(Initial Access Broker, IAB)正在未修補的 EPMM 實例中植入「休眠」Webshell,為後續攻擊者預先鋪路。
休眠 Webshell 手法解析:先卡位、後變現
Defused Cyber 於 2 月 9 日揭露一波針對 EPMM 的攻擊行動。攻擊者在遭入侵的系統中部署休眠狀態的記憶體內 Java 類別載入器,植入路徑為
/mifs/403.jsp。這些植入物需要特定的觸發參數才會啟動,在報告發布時尚未觀察到後續利用行為。
Greynoise 從其部署於全球資料中心網路與公開 IP 空間的感測器中,觀察到類似的利用模式。研究人員指出,這些攻擊所使用的酬載會透過 DNS 回傳機制向攻擊者確認「此目標可被利用」。
Greynoise 研究人員強調:「這些攻擊不部署惡意程式,不竊取資料,僅驗證存取權限。這與初始存取掮客的運作模式一致,他們先確認目標可利用性,再於後續部署進階攻擊工具。」這種「先卡位、後變現」的策略,意味著即使企業目前未偵測到明顯的惡意活動,系統仍可能已遭植入後門,隨時可能被轉售給勒索軟體集團或其他威脅行為者。
漏洞揭露時程與修補進度
Ivanti 於 2026 年 1 月 29 日揭露
CVE-2026-1281 與 CVE-2026-1340 兩項程式碼注入漏洞,並表示已知悉漏洞遭實際利用。美國網路安全暨基礎設施安全局(CISA)同日將 CVE-2026-1281 納入已知遭利用漏洞目錄(KEV)。
Ivanti 於 1 月 29 日提供暫時性修補措施,並於 2 月 4 日釋出正式安全更新。然而,資安研究機構 watchTowr 於 1 月 30 日發布修補程式分析,使漏洞技術細節進一步曝光,加速了攻擊者的利用腳步。
歐洲多國政府機構證實遭駭
本次漏洞利用已造成實際災情。荷蘭資料保護局與司法委員會證實其 EPMM 系統於 1 月 29 日或之前遭到入侵,研判與 CVE-2026-1281 有關。歐盟執委會的行動裝置管理平台同樣傳出遭駭,惟官方未證實所使用的解決方案名稱。芬蘭中央政府 ICT 服務中心 Valtori 亦確認受害。
Ivanti 已與荷蘭國家網路安全中心(NCSC-NL)合作釋出偵測腳本,協助客戶檢查 EPMM 環境中是否存在入侵跡象。NCSC-NL 警告,所有使用 Ivanti EPMM 的組織都應假設系統已遭入侵,並啟動鑑識調查加以確認。
Defused Cyber 已公開相關日誌指標與入侵指標(IOC),並建議企業立即採取以下措施:套用修補程式、重新啟動應用程式伺服器以清除記憶體內植入物,以及使用提供的指標檢視存取日誌。
Ivanti 發言人於 2 月 12 日重申:「尚未修補的客戶應立即進行修補,隨後檢查設備是否存在修補前遭利用的跡象。套用修補程式是防止利用最有效的方式,尤其在概念驗證程式碼(PoC)已公開的情況下。修補程序無需停機,僅需數秒即可完成。」
面對這波針對企業行動裝置管理平台的攻擊浪潮,資安專家呼籲企業應儘速完成修補作業,並主動進行威脅獵捕,確認系統未遭攻擊者入侵。
本文轉載自helpnetsecurity。