单一威胁行为者导致 83% 最近的 Ivanti 远程代码执行攻击

威胁情报观察显示，单一威胁行为者负责对 Ivanti Endpoint Manager Mobile (EPMM) 中两个关键漏洞的活跃利用，这两个漏洞分别为 CVE-2026-21962 和 CVE-2026-24061。

这些安全问题已在 Ivanti 的安全通报中被标记为正在被零日攻击利用，公司同时公布了热修复。

两个缺陷均被评为严重等级，允许攻击者在未认证的情况下注入代码，从而在受影响系统上实现远程代码执行（RCE）。

GreyNoise 这家专注威胁的互联网情报公司称，单一 IP 地址托管在防弹基础设施上，负责超过 83% 与这两个漏洞相关的利用活动。

在 2 月 1 日至 9 日期间，监测平台观察到 417 次利用会话，来源于 8 个唯一的源 IP 地址，集中在 CVE-2026-21962 和 CVE-2026-24061 上。

最高比例的 83% 来自 193.24.123.42，该 IP 由 PROSPERO OOO（AS200593）托管，Censys 分析师将其标记为用于针对各种软件产品的防弹自治系统。

2 月 8 日出现尖峰，当天记录了 269 次会话，几乎是日均 22 次的 13 倍。

在 417 次利用会话中，354（85%）使用 OAST 样式的 DNS 回调来验证命令执行能力，表明存在初始访问经纪人活动。

有趣的是，若干已发布的妥协指示器（IoC）包括 Windscribe VPN（185.212.171.0/24）的 IP，这些 IP 在 GreyNoise 的遥测中被用于扫描 Oracle WebLogic 实例，但未出现 Ivanti 利用活动。

研究人员指出，PROSPERO OOO 的 IP “未出现在广泛发布的 IOC 列表中，这意味着仅阻断已发布指示器的防御者可能会错过主要的利用来源”。

该 IP 并不限于针对 Ivanti，同时利用了另外三个漏洞：Oracle WebLogic 的 CVE-2026-21962、GNU Inetutils Telnetd 的 CVE-2026-24061，以及 GLPI 的 CVE-2025-24799。

Oracle WebLogic 漏洞的会话量最大，达到 2,902 次，其次是 Telnetd 漏洞的 497 次。

利用活动似乎完全自动化，在三百个用户代理之间轮换。

Ivanti 对 CVE-2026-1281 和 CVE-2026-1340 的修复并非永久性。公司承诺将在今年第一季度随 EPMM 版本 12.8.0.0 发布完整补丁。

在此之前，建议使用 RPM 包 12.x.0.x（适用于 EPMM 版本 12.5.0.x、12.6.0.x、12.7.0.x）以及 RPM 12.x.1.x（适用于 EPMM 版本 12.5.1.0 和 12.6.1.0）。

供应商指出，最保守的做法是构建一个替代的 EPMM 实例并将所有数据迁移过去，相关操作指南已提供。