攻击者正在Ivanti EPMM系统中植入休眠后门，这些"沉睡外壳"可长期潜伏，在特定条件下被激活，构成严重安全威胁。该漏洞需要引起重视并及时修复。

潜伏的威胁：攻击者如何在Ivanti EPMM中植入休眠后门

自漏洞披露以来，Ivanti终端管理移动版(EPMM)遭受了持续不断的攻击。2026年2月4日，安全研究人员发现了一种新型攻击模式：攻击者不再采用传统的"打了就跑"策略，而是上传了一个特殊的休眠内存Java类加载器到/mifs/403.jsp路径。

关键发现： - 该后门需要特定触发参数才能激活，目前尚未观察到后续攻击活动 - 攻击手法符合初始访问经纪人(IAB)的特征：先建立据点，再转售访问权限

漏洞背景： Ivanti EPMM存在两个关键漏洞(CVE-2026-1281和CVE-2026-1340)，均涉及认证绕过和远程代码执行。虽然厂商已发布补丁，但野外利用仍在持续。

技术分析： 1. 攻击者部署的是一个名为base.Info的Java类加载器，而非传统webshell 2. 该加载器使用非常规的equals(Object)作为入口点，以规避安全检测 3. 通过特定参数k0f53cf964d387可触发第二阶段攻击 4. 加载器会收集主机环境信息，但不会在磁盘留下痕迹

防御建议： - 立即按照厂商指南修补Ivanti EPMM系统 - 重启受影响的应用服务器以清除内存驻留程序 - 检查日志中是否包含以下特征： * 对/mifs/403.jsp的访问请求 * 以yv66vg开头的大段Base64参数 * 包含3cd3d或e60537标记的响应

威胁指标： - 恶意类文件SHA-256：097b051c9c9138ada0d2a9fb4dfe463d358299d4bd0e81a1db2f69f32578747a - 涉及多个国家的攻击源IP地址

安全专家提醒，这种"静默"攻击往往比明显的破坏行为更具危险性。企业不应等待后续攻击出现，而应立即采取防护措施。

评论总结：

1. 对Ivanti产品的强烈批评

• 认为Ivanti产品是"伪装成安全解决方案的恶意软件"，公司应被起诉破产 "Every single Ivanti product should be considered a critical threat" "this company is a security joke as most software security companies are"

2. 安全漏洞披露问题

• 指出Ivanti未解释漏洞成因，且修复不及时 "Ivanti doesn't explain how this happened" "the following versions of Ivanti EPMM are patched: None"

3. 企业安全现状的讽刺

• 认为企业安全只是合规检查项，实际无人重视 "would be bankrupt if people cared about security rather than it being a compliance/insurance checkbox" "How many backdoors and vulnerabilities can these two companies produce until they get put out of business?"

4. 对网络安全未来的担忧

• 预测网络攻击将增加，普通用户面临更大风险 "there will be a lot more exploitation everywhere" "The era of running any random vscode extension... is likely at an end"

5. 媒体报道的质疑

• 批评文章插图将美国公司与中国形象关联不当 "the dragon-resembling creature... makes it look like the incident is somehow related to China"

6. 监管建议

• 提议对问题公司实施类似银行的严格监管 "should be treated similarly to misbehaving banks: banned from acquiring new customers"