文章总结： 威胁情报显示单一威胁行为者对IvantiEPMM的两个严重RCE漏洞（CVE-2026-21962、CVE-2026-24061）的83%攻击负责。攻击源自PROSPEROOOO托管的IP，具有自动化特征并涉及多产品漏洞利用。Ivanti已发布热修复，建议用户应用RPM包或通过迁移数据至新实例缓解风险。 综合评分： 83 文章分类： 威胁情报,漏洞预警,应急响应

一个威胁行为者应对近期 83% 的 Ivanti 远程代码执行攻击负责

原创

ZM ZM

暗镜

2026年2月15日 12:45 辽宁

威胁情报观察显示，单个威胁行为者对 Ivanti Endpoint Manager Mobile (EPMM) 中的两个关键漏洞（编号分别为 CVE-2026-21962 和 CVE-2026-24061）的大部分活跃利用负有责任。

Ivanti 在其安全公告中指出，这些安全问题已被积极用于零日攻击 ，该公司还在公告中宣布了热修复程序。

这两个漏洞都被评为严重级别，允许攻击者在未经身份验证的情况下注入代码，从而导致在易受攻击的系统上执行远程代码 (RCE)。

专注于威胁情报的互联网情报公司 GreyNoise 表示，托管在防弹基础设施上的单个 IP 地址造成了与这两个漏洞相关的 83% 以上的利用活动。

2 月 1 日至 9 日期间，监控平台观察到 417 个利用会话，这些会话源自 8 个不同的源 IP 地址，主要针对 CVE-2026-21962 和 CVE-2026-24061。

访问量最高的是 193[.]24[.]123[.]42，由 PROSPERO OOO (AS200593) 托管，Censys 分析师将其标记为一个坚不可摧的自主系统，用于攻击各种软件产品。

GreyNoise指出，2月8日出现了一个急剧的峰值，单日记录会话数高达269次，几乎是日均会话数22次的13倍。

在 417 个攻击会话中，有 354 个（85%）使用 OAST 风格的 DNS 回调来验证命令执行能力，指向初始访问代理活动。

有趣的是，一些已发布的入侵指标 (IoC) 包括 GreyNoise 遥测中出现的 Windscribe VPN (185[.]212[.]171[.]0/24) 的 IP 地址，这些地址正在扫描 Oracle WebLogic 实例，但没有 Ivanti 的利用活动。

研究人员指出，他们发现的 PROSPERO OOO IP 地址“不在广泛发布的 IOC 列表中，这意味着仅屏蔽已发布的指标的防御者可能错过了主要的攻击来源。”

该 IP 不仅限于 Ivanti 目标，因为它同时利用了另外三个漏洞：Oracle WebLogic 中的 CVE-2026-21962、GNU Inetutils Telnetd 中的 CVE-2026-24061 和 GLPI 中的 CVE-2025-24799。

Oracle WebLogic 漏洞的会话量最大，达到 2,902 个会话，远远超过其他问题，其次是 Telnetd 问题，有 497 个会话。

攻击活动似乎完全自动化，在三百个用户代理之间轮换。

Ivanti 对 CVE-2026-1281 和 CVE-2026-1340 的修复并非永久性的。该公司承诺将在今年第一季度发布完整的补丁程序，届时将发布 EPMM 12.8.0.0 版本。

在此之前，建议对 EPMM 版本 12.5.0.x、12.6.0.x 和 12.7.0.x 使用 RPM 软件包 12.x.0.x，对 EPMM 版本 12.5.1.0 和 12.6.1.0 使用 RPM 12.x.1.x。

供应商指出，最稳妥的方法是构建一个替代的EPMM实例并将所有数据迁移到该实例。具体操作步骤请点击此处查看。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《一个威胁行为者应对近期 83% 的 Ivanti 远程代码执行攻击负责》