中國駭客利用 Ivanti EPMM 漏洞進行全球企業網路攻擊

中國駭客利用 Ivanti EPMM 漏洞進行全球企業網路攻擊        最近修補的一對影響Ivanti Endpoint Manager Mobile （EPMM） 軟體的安全漏洞已被中國關聯威脅行為者利用，以歐洲、北美和亞太地區的廣泛行業為目標。攻擊針對醫療保健、電信、航空、市政府、金融和國防部門。掃描活動往往在零日漏洞公開出現之前出現，這是一個領先指標 、 一個信號，表明攻擊者正在探測關鍵系統，可能為未來的漏洞利用做準備。         根據 Trimble 發佈的入侵指標 （IoC），該漏洞已被利用來提供基於 Rust 的載入程式，該載入程式啟動 Cobalt Strike 和名為 VShell 的基於 Go 的遠端存取工具，以試圖保持對受感染系統的長期訪問。        最近兩週危險程度達到滿分的資安漏洞不斷傳出，例如：Commvault備份管理平臺漏洞CVE-2025-3402、PHP程式庫ADOdb漏洞CVE-2025-46337、思科IOS XE無線區域網路控制器漏洞CVE-2025-20188。該漏洞遭到積極利用，當時駭客組織Chaya_004試圖掃描存在漏洞的NetWeaver伺服器，透過13個IP位址從事攻擊，此攻擊行動主要鎖定製造業環境，目的是部署後門程式SuperShell，而這些IP位址來自法國、德國、美國、波蘭的主機代管業者。        一旦攻擊者成功觸發，就能上傳惡意的Web Shell，從而達到遠端執行任意程式碼（RCE）的目的，攻擊者甚至有機會完全控制尚未修補的NetWeaver，因此他們呼籲IT人員，應儘速修補漏洞。出版托福、雅思、GMAT等教材出版商Pearson近日遭駭，疑似被駭客竊走公司程式原始碼、財務、客戶資料。Pearson外洩的PAT資訊允許攻擊者存取原始碼，當中包含了寫死的憑證和雲端驗證令牌。而後幾個月攻擊者又利用這些資訊，從Pearson內部網路系統與AWS、Google Cloud、或Snowflake、Salesforce雲端系統竊取了數TB的資料。        思科（Cisco）發布安全公告，指出其IOS XE無線區域網路控制器（WLC）軟體存在評為風險等級滿分（10分）的重大漏洞CVE-2025-20188，該漏洞源自系統內部寫死的JSON Web Token（JWT），允許未經驗證的遠端攻擊者，上傳任意檔案並執行指令，當受影響裝置啟用特定功能，便可能成為被入侵的高風險目標。CVE-2025-20188漏洞存在於Catalyst 9800系列的控制器平臺，包括部署於雲端、交換器內嵌控制器版本，以及部分無線基地臺的內建控制器，當用戶啟用Out-of-Band AP Image Download功能，攻擊者便有機會利用該漏洞發動攻擊。        由於漏洞發生在遠端設備管理功能上，且可繞過使用者驗證機制，風險影響範圍不僅涵蓋資料完整性，也涉及控制權奪取與服務中斷等問題，因此該漏洞被列為CVSS 3.1等級10.0的最高風險。對於多數企業而言，WLC作為無線網路中樞，若遭入侵將可能成為橫向移動的跳板，進一步擴大網路攻擊面。       參考資料: https://thehackernews.com/2025/05/chinese-hackers-exploit-ivanti-epmm.html https://thehackernews.com/2025/05/chinese-hackers-exploit-trimble.html