83% 的 Ivanti EPMM 利用关联至弹性托管基础设施的单一 IP

针对 Ivanti Endpoint Manager Mobile（EPMM）新披露安全缺陷的利用尝试中，有相当大的一部分可以追溯到由 PROSPERO 提供的弹性托管基础设施上的单一 IP 地址。

威胁情报公司 GreyNoise 表示，在 2026 年 2 月 1 日至 9 日期间记录了 417 次利用会话，来源于 8 个唯一的源 IP。其中约 346 次会话来自 193.24.123[.]42，占全部尝试的 83%。

这些恶意活动旨在利用 CVE-2026-1281（CVSS 评分 9.8），这是 EPMM 中的两个关键漏洞之一，另一个是 CVE-2026-1340，攻击者可通过它实现未认证的远程代码执行。上月末，Ivanti 承认已知有“极少数客户”受到零日利用的影响。

此后，包括荷兰数据保护局（AP）、司法委员会、欧盟委员会以及芬兰 Valtori 在内的多家欧洲机构披露称，它们遭到了使用这些漏洞的未知威胁行为者的攻击。

进一步分析显示，同一主机同时利用了另外三个与之无关软件的漏洞：

• CVE-2026-21962（Oracle WebLogic）- 2,902 次会话
• CVE-2026-24061（GNU InetUtils telnetd）- 497 次会话
• CVE-2025-24799（GLPI）- 200 次会话

GreyNoise 说明：“该 IP 使用 300 多种不同的用户代理字符串，涵盖 Chrome、Firefox、Safari 以及多种操作系统变体。此指纹多样性加上对四个无关软件的同步利用，表明使用了自动化工具。”

值得注意的是，PROSPERO 被评估与另一个自治系统 Proton66 关联，该系统历史上分发过 GootLoader、Matanbuchus、SpyNote、Coper（亦称 Octo）以及 SocGholish 等桌面和 Android 恶意软件。

GreyNoise 还指出，85% 的利用会话通过域名系统（DNS）向其控制服务器发出信号，以确认“目标可被利用”，但并未部署任何恶意软件或窃取数据。

此披露发生在 Defused Cyber 报告的“一种休眠壳”攻击活动之后，该活动在受感染的 EPMM 实例中部署了一个驻留内存的 Java 类加载器，路径为 "/mifs/403.jsp"。该公司称此行为符合初始访问经纪人（Initial Access Broker）的作案手法，即先获取立足点，再在后期出售或转让访问权限以获取收益。

该公司指出：“这种模式具有重要意义。OAST（带外应用安全测试）回调表明攻击者在先确认目标是否易受利用后才会部署后续载荷，这与先验证再行动的初始访问操作相符。”

Ivanti 建议 EPMM 用户立即应用补丁，审计面向互联网的移动设备管理（MDM）基础设施，检查 DNS 日志中是否出现 OAST 回调模式，监控 EPMM 实例的 "/mifs/403.jsp" 路径，并在网络边界阻断 PROSPERO 的自治系统（AS200593）。

GreyNoise 表示：“EPMM 被攻破后，攻击者可获取整个组织的设备管理基础设施，形成可绕过传统网络分段的横向移动平台。拥有面向互联网的 MDM、VPN 汇聚器或其他远程访问基础设施的组织应假设关键漏洞在披露后数小时内即被利用。”

Update

在本报道发布后，Ivanti 发言人向 The Hacker News 提供了以下声明——

Ivanti 的建议保持不变：尚未打补丁的客户应立即进行更新，并检查其设备是否出现了补丁前的利用迹象。应用补丁是防止利用的最有效方式，无论 IoC 随时间如何变化，尤其在出现概念验证（POC）后。补丁无需停机，仅需几秒即可完成。

Ivanti 已向客户提供高保真度的妥协指示、披露时的技术分析以及与 NCSC‑NL 合作开发的利用检测脚本，并将在应对此威胁期间继续支持客户。