一周前资安业者Ivanti发布资安公告，指出旗下云端服务应用平台Cloud Services Appliance（CSA）存在3项漏洞CVE-2024-9379、CVE-2024-9380、CVE-2024-9381，已有部分用户系统遭遇漏洞滥用活动，如今有研究人员指出，有国家级黑客正在利用这些漏洞从事攻击行动。

资安业者Fortinet指出，9月9日他们在客户的环境侦测到漏洞利用攻击行动，进一步调查发现，攻击者利用了已知的命令注入漏洞CVE-2024-8190，以及当时尚未公开的路径穿越漏洞CVE-2024-8963、命令注入漏洞CVE-2024-9380。值得留意的是，隔日Ivanti对于CVE-2024-8190发布资安公告，黑客竟是对其进行修补，这么做的目的，就是为了避免受到其他人马及资安人员的干扰。

等到黑客成功破坏CSA，也利用Ivanti后端微软SQL数据库的注入漏洞CVE-2024-29824，从而对受害组织部署的Ivanti Endpoint Manager（EPM）激活xp_cmdshell处理进程，而能在SQL服务器远程运行代码。

接着，这些黑客在SQL服务器创建名为mssqlsvc的帐号，并关闭主机的防火墙功能，然后对受害组织网络环境进行侦察，并通过DNS隧道外流窃得的数据。

研究人员发现，黑客也在CSA以Linux系统内核组件sysinitd.ko的名义，植入了rootkit程序，目的就是能持续于受害设备活动，就算IT人员将CSA恢复原厂设置，rootkit还是有机会留存下来。