警惕！黑客针对 SonicWall、Zoho、F5 和 Ivanti 系统展开漏洞利用攻势

针对企业网络设备和远程访问工具的网络攻击大幅激增，已让全球各组织机构处于高度警戒状态。

2025 年 3 月 28 日，GreyNoise 观察到，针对 SonicWall 防火墙、Zoho ManageEngine 平台、F5 BIG-IP 系统以及 Ivanti Connect Secure VPN 的恶意活动增加了 300%。

威胁行为者正在利用这些广泛部署的技术中未打补丁的漏洞，遥测数据显示出存在协同的侦察活动、暴力破解攻击，以及部署勒索软件有效载荷的企图。

这场攻击行动凸显了补丁更新周期延迟所带来的持续风险，以及将旧的通用漏洞披露（CVE）与新披露的漏洞武器化的问题。

目标系统及攻击利用模式

Ivanti Connect Secure VPN：代码注入风险

攻击者正在积极利用Ivanti远程访问解决方案中的三个关键漏洞：CVE-2025-22467（基于栈的缓冲区溢出）、CVE-2024-10644（通过代码注入实现远程代码执行）以及 CVE-2024-38657（任意文件写入）。

这些漏洞使得拥有低权限的已认证攻击者能够绕过安全控制措施，操纵系统文件，并执行恶意命令。

GreyNoise 的传感器检测到超过 15000 个独特的 IP 地址试图向 Ivanti 基于 XML 的应用程序编程接口（API）端点注入有效载荷，这些 IP 地址常常伪装成合法流量以逃避检测。

尽管在 2025 年第一季度已发布了补丁，但由于混合云架构的更新程序复杂，许多组织机构仍然面临风险。

SonicWall SSL VPN：身份验证绕过漏洞

SonicWall 设备正受到攻击，原因是存在 CVE-2024-53704 漏洞，这是 SonicOS SSL VPN 中的一个身份验证绕过漏洞，已于 2025 年 1 月修复。

攻击者劫持活跃的 VPN 会话以访问内部网络，窃取 Virtual Office 的凭据，并干扰合法用户的连接。

在 3 月 28 日，攻击利用尝试激增，威胁行为者使用伪造的会话令牌绕过证书验证。这些活动与暗网上泄露的为部署勒索软件而定制的 SonicWall 配置模板相关联。

Zoho ManageEngine：API Gateway 被攻陷

Zoho 的 IT 管理平台面临着利用 CVE-2024-10640 漏洞的攻击，这是 REST API 连接器中的一个反序列化漏洞。

未经身份验证的攻击者精心构造恶意序列化对象以获取 root 权限，GreyNoise 在 72 小时内记录了 8420 次攻击利用尝试。

被攻陷的实例被重新利用来部署加密货币挖矿程序和 Cobalt Strike 信标。Zoho 于 3 月 25 日发布了热修复程序，但更新窗口期较短，使得企业容易受到快速攻击利用。

F5 BIG-IP：iControl 服务器漏洞

F5 的 BIG-IP 设备成为攻击目标，攻击者利用的是 CVE-2025-19872 漏洞，这是 iControl REST 接口中的一个服务器端请求伪造（SSRF）缺陷。

攻击者利用配置错误的 HTTP 端点绕过网络限制并查询内部服务，有可能访问 Kubernetes 集群或云元数据。

研究人员观察到 4200 个 IP 地址在扫描暴露的 iControl 服务器，其中 14% 与已知的勒索软件关联基础设施有关。F5 在 3 月 18 日发布的补丁需要手动干预，这使得许多用户延迟了漏洞缓解措施的实施。

多阶段攻击策略

这场攻击行动采用了多阶段攻击策略：

1.侦察阶段：自动化扫描器使用 JA4h 指纹（例如，po11nn11enus_967778c7bec7_000000000000_000000000000）识别未打补丁的系统，以分析 SSL/TLS 握手模式。

2.攻击利用阶段：攻击者将多个 CVE 漏洞串联起来以提升权限 —— 例如，将 Ivanti 的 CVE-2024-38657（文件写入）漏洞与 CVE-2025-22467（缓冲区溢出）漏洞结合起来，覆盖系统二进制文件。

3.持久化阶段：被劫持的 SonicWall  VPN 隧道和 Zoho API 密钥建立 SOCKS5 代理以进行横向移动，而 F5 的 SSRF 漏洞利用则用于获取 AWS IAM 凭据。

值得注意的是，尽管 CVE-2023-6875（Zoho ServiceDesk Plus 中的一个预身份验证 SQL 注入漏洞）未被列入美国网络安全与基础设施安全局（CISA）的已知被利用漏洞目录，但它仍在被攻击利用。这凸显了仅依赖联邦机构的威胁情报公告存在局限性。

企业的缓解策略

1.补丁优先级管理：立即为 Ivanti（Connect Secure 22.5R2）、SonicWall（SonicOS 7.1.3-4303）、Zoho（ManageEngine 12540）和 F5（BIG-IP 17.1.1.1）应用修复程序。

2.网络分段：隔离无法打补丁的遗留系统，并对 VPN 和 API 网关实施零信任策略。

3.行为分析：部署如 GreyNoise 这样的工具，对 3 月 28 日至 4 月 1 日的日志进行追溯性分析，查找 JA4h 哈希值、异常的会话时长（超过 90 分钟），或 POST /api/v1/icrest 请求的激增情况。

4.事件响应：如果检测到无法解释的 cron 作业（*/10 * * * * /tmp/.httpd）或未签名的内核模块（lsmod | grep -i netlink），则假定系统已被攻陷。

这场攻击行动体现了勒索软件犯罪团伙的攻击手段日益复杂成熟，他们如今能够在异构环境中自动化利用 CVE 漏洞。

由于 37% 的攻击针对的是在 60 天以上之前就已修复的漏洞，各组织机构必须采用实时威胁情报平台，并为补丁部署实施更严格的服务级别协议（SLA）。

正如研究人员所警告的：“漏洞披露与攻击利用之间的时间窗口已经大幅缩短 —— 防御者必须以机器速度实施漏洞缓解措施。”