主要观点：FortiGuard Labs 发布关于高级对手利用 Ivanti Cloud Services Appliance 三个漏洞的博客，包括背景、漏洞概述及披露、漏洞细节、威胁行为者补丁漏洞等方面内容，强调威胁行为者利用零日漏洞获取网络访问权及 Fortinet 的相关防护措施。
关键信息：

• 受影响平台为 Ivanti Cloud Services Appliance 版本 4.6 及之前，受影响用户为任何组织，影响为远程攻击者控制易受攻击系统，严重级别为关键。
• 近期事件中，威胁行为者利用 CVE-2024-8190 及两个未知漏洞入侵客户网络，9 月 9 日客户发现内部系统与恶意 IP 通信，次日 FortiGuard Incident Response 介入。
• 披露了两个新漏洞，9 月 19 日向 Ivanti 安全团队披露，Ivanti 发布相关咨询，研究团队发布漏洞细节及 PoC 代码。
• 详细介绍了路径遍历漏洞、CVE-2024-8190 漏洞利用、命令注入漏洞等的利用过程及相关证据。
• 威胁行为者在被披露漏洞后对部分资源进行补丁，还进行了横向移动、 brute force 攻击等其他活动，同时发现了 root kit 等。
  重要细节：
• 各漏洞的具体利用方式及相关代码、日志等证据，如路径遍历漏洞通过特定 URL 操作获取资源，命令注入漏洞在特定脚本中未进行参数 sanitization 导致可注入恶意命令等。
• 威胁行为者在入侵过程中创建的各种 webshell、使用的工具及与网络的交互情况等细节。
• Fortinet 的防护产品及相关 IPS 签名能检测和阻止此类威胁，FortiGuard 服务能通过多种方式提供威胁情报和防护。