Ivanti漏洞遭Mirai殭屍網路濫用，目的是傳輸惡意酬載

今年1月揭露的Ivanti資安產品漏洞CVE-2023-46805、CVE-2024-21887，這幾個月以來，陸續引發許多風波，連全球最了解駭客手法的資安組織MITRE都不幸淪陷，現在連Mirai殭屍網路也想乘機利用，企圖藉此大量散播惡意軟體。

本週（5月7日）資安與網路設備廠商Juniper Networks旗下的Juniper Threat Labs發布監測報告，揭露他們發現Mirai殭屍網路試圖利用這批漏洞，執行遠端程式碼執行，目的是廣泛散播惡意程式。

攻擊者主要濫用Ivanti產品的兩個漏洞，其中，針對CVE-2023-46805的部分，主要是運用略過身分認證與路徑穿越這兩個弱點，使得他們得以存取敏感資源；另一個漏洞是CVE-2024-21887，攻擊者可運用注入任何命令的弱點，而能夠執行指令碼，進而部署多種惡意軟體，研究人員也在其他受監測的執行個體，發現攻擊者透過以curl、Python寫成的反向shell技術來濫用CVE-2024-21887，而得以控制那些存在弱點的系統，最近他們更發現經由shell指令碼傳遞Mirai酬載的狀況。

分析當中的指令執行順序，攻擊者試圖抹除檔案、從遠端伺服器下載指令碼、設定可執行的許可，並且執行一段指令碼，目的是感染系統。而根據研究人員在這段過程所得到的酬載來進行分析，他們已識別出這是Mirai殭屍網路所使用的工具。