SANS Stormcast：利用 Ivanti、Fortinet 和 VMware 漏洞的攻击

执行摘要

根据SANS互联网风暴中心（Internet Storm Center）于2026年4月13日发布的每日威胁简报，当前活跃的攻击活动正在利用广泛部署的企业级软件中来自Ivanti、Fortinet和VMware产品的多个高危漏洞。其中最严重的活动涉及威胁行为者将两个Ivanti Connect Secure漏洞——CVE-2024-21893 和 CVE-2024-22024 进行链式利用，以实现无需身份验证的远程代码执行。与此同时，另一项钓鱼活动正通过分发恶意OneNote附件来部署远程访问木马（RAT）。使用受影响产品的组织应立即应用已发布的补丁和安全更新。

技术分析

SANS报告详细描述了针对若干特定通用漏洞披露（CVE）的攻击活动。对于Ivanti Connect Secure（ICS）及Ivanti Policy Secure网关，攻击者结合了一个堆溢出漏洞（CVE-2024-21893）和一个权限提升缺陷（CVE-2024-22024），这一组合允许未经认证的攻击者在设备底层操作系统上执行任意命令。Ivanti已经发布了相关安全更新以修复这些问题。

关于VMware产品，该报告指出正在被利用的是CVE-2023-34048，这是vCenter Server在DCERPC协议实现中的越界写入漏洞。成功利用可能导致远程代码执行。VMware也已为受影响版本发布补丁。

在Atlassian Confluence方面，对CVE-2023-22515的利用仍在持续进行。这是一个关键级别的访问控制破坏漏洞，使得未经认证的攻击者能够重置Confluence并创建新的管理员账户，从而完全控制系统。

最后，报告还提及对Fortinet两款漏洞的持续扫描和潜在利用尝试：一是Fortinet FortiGate SSL-VPN中的严重信息泄露漏洞CVE-2023-4966；二是同一产品中的认证绕过漏洞CVE-2023-46805。这两个漏洞可被串联用于未授权访问VPN系统。

入侵指标

目前尚未识别到明确的入侵指标。

战术、技术与程序

威胁行为者采用了直接漏洞利用和社会工程相结合的方式。这些软件漏洞的主要TTP包括扫描并武器化外围设备和企业应用程序中已知且已被修补的漏洞。这种模式常见于针对能提供进入企业网络入口点的安全和管理工具。

此次钓鱼活动采用了一种独特的TTP：发送带有恶意OneNote（.one）附件的电子邮件。当用户打开此类文件时，会显示一张欺骗性图片提示“双击查看”，进而触发嵌入的恶意脚本下载并运行远程访问木马载荷。此手法可以绕过通常与Microsoft Office文档相关的宏安全机制。

威胁行为者背景

SANS报告并未将上述攻击活动归因于具体的威胁行为者或国家实体。由于这些漏洞的概念验证代码和技术细节公开可用，因此可能被广泛的攻击者所使用，包括网络犯罪团伙以及国家级支持的组织。其主要目标可能是获取初始访问权限，以便后续开展勒索软件部署、数据窃取或间谍活动等操作。

缓解措施与建议

首要缓解措施是立即打补丁。所有组织必须毫不延迟地为其受影响的产品安装厂商提供的最新安全更新。具体行动包括：

1. Ivanti：为Connect Secure和Policy Secure网关应用最新的安全更新。此外，Ivanti也为CVE-2024-22024提供了临时缓解方案，即删除特定XML文件（reputation.xml）。
2. VMware：按照VMware安全公告VMSA-2023-0023列出的内容为vCenter Server打补丁。
3. Atlassian：依据Atlassian官方通告，升级Confluence Data Center和Server至已修复版本。
4. Fortinet：将所有FortiGate设备升级至解决了CVE-2023-4966和CVE-2023-46805问题的新固件版本。
5. 防范钓鱼攻击：实施应用控制策略，阻止从用户可写的目录（如OneNote使用的临时文件夹）执行脚本（例如PowerShell、HTA）。同时加强员工意识培训，强调随意点击不明来源的OneNote附件所带来的风险。
6. 一般性防护：确保网络具备良好的隔离结构，限制受感染设备横向移动的可能性。密切监视来自这些关键系统的对外通信流量。