Hacker News
Attackers are exploiting Ivanti EPMM by planting dormant backdoors, referred to as 'sleeper shells,' which remain undetected until activated. This sophisticated attack method poses a significant security risk to organizations using the platform.
AI 生成摘要
攻擊者正在利用 Ivanti EPMM 植入被稱為「休眠後門」的潛伏後門,這些後門在被激活之前不會被發現。這種複雜的攻擊方法對使用該平台的組織構成了重大的安全風險。
近期資安社群揭露了 Ivanti Endpoint Manager Mobile (EPMM) 存在嚴重的「休眠後門」(Sleeper Shells)漏洞。攻擊者利用特定的 JSP 檔案植入後門,這些後門在植入後並不立即執行惡意活動,而是保持靜默狀態以規避傳統的安全偵測系統,等待未來特定時機再被啟動。
Hacker News 社群對此事件展現出極度的憤怒與無奈,許多資深技術人員認為 Ivanti 的產品已經成為國家安全等級的威脅。討論中指出,這類資安公司本應提供防護方案,現實中卻屢次爆發低級漏洞,甚至被諷刺為「包裝成安全解決方案的惡意軟體」。有觀點認為,這類公司之所以能持續生存,是因為市場缺乏有效的法律追責機制。與汽車產業若生產危險產品會面臨破產訴訟不同,軟體產業通常透過免責聲明規避過失責任,導致企業在安全性上的投入遠低於行銷支出。
社群進一步探討了資安產業的結構性問題。許多評論者指出,企業購買 Ivanti 或 Fortinet 等產品,往往並非為了真正的安全性,而是為了滿足合規性檢查清單(Checklist)或降低保險保費。這種「檢查清單式」的安全文化導致企業傾向於購買昂貴但漏洞百出的現成產品,而非從架構層面建立防禦。更有網友直言,資安保險公司要求的技術清單(如強制 SSL 攔截或特定的 MDM 方案)有時反而增加了攻擊表面積。例如,為了符合保險要求而安裝的設備,本身可能就帶有未修補的零日漏洞。
針對技術細節,討論區也提到了攻擊者的高明之處。這次攻擊之所以成功,是因為操作者精確避開了安全營運中心(SOC)常見的偵測指標,如橫向移動或數據外洩。攻擊者僅植入載入器並確認運作後便離去,這種「初始存取經紀人」的模式讓傳統的季度漏洞掃描完全失效。此外,關於 Ivanti 產品本身的品質,有留言提到該公司傾向於收購其他成熟產品(如 MobileIron)後裁撤核心技術團隊,導致產品維護品質大幅下降。
最後,社群對於未來趨勢感到悲觀。隨著 AI 輔助攻擊工具的普及,政府資助的駭客組織或一般犯罪者能更輕易地在大規模程式碼庫中尋找漏洞。儘管歐盟的 NIS2 指令試圖將資安責任落實到企業高層個人身上,但目前業界的主流做法仍是聘請「首席代罪羔羊官」(Chief Scapegoat Officer),在發生事故時將其開除以平息輿論,而非真正改善系統架構。