CVE-2024-21893 kimi müəyyən edilmiş kritik server tərəfi sorğu saxtakarlığı (SSRF) zəifliyi bu yaxınlarda Ivanti Connect Secure və Policy Secure məhsullarında həyəcan verici miqyasda istifadə edilmişdir. Kütləvi istismar cəhdləri və əks qabığın yaradılması da daxil olmaqla, icazəsiz giriş potensialı səbəbindən bu zəiflik kibertəhlükəsizlik icmasında əhəmiyyətli narahatlıqlar yaratmışdır.
CVE-2024-21893 İstismarının təfərrüatları
İstismar xüsusi olaraq İvanti məhsullarının Təhlükəsizlik Təsdiqləmə İşarələmə Dili (SAML) komponentində SSRF qüsuru olan CVE-2024-21893-ü hədəf alır. Bu boşluq təcavüzkarlara autentifikasiya olmadan məhdud resurslara daxil olmaq imkanı verir. Shadowserver Fondu vəziyyətin ciddiliyini vurğulayaraq, 170-dən çox fərqli IP ünvanından yaranan istismar cəhdlərinin artdığını bildirdi.
Qeyd edək ki, kibertəhlükəsizlik firması Rapid7 CVE-2024-21893-ü CVE-2024-21887 ilə birləşdirən konsepsiya sübutu (PoC) istismarını buraxdı, bu, əvvəllər yamaqlanmış əmr inyeksiya qüsurudur. Bu kombinasiya zəifliklə bağlı riskləri artıraraq doğrulanmamış uzaqdan kodun icrasını asanlaşdırır.
İstismar mənzərəsi və riskləri
Təhlükəsizlik tədqiqatçısı Will Dormann tərəfindən vurğulandığı kimi, vəziyyət Ivanti VPN cihazlarında köhnəlmiş açıq mənbə komponentlərinin istifadəsi ilə daha da ağırlaşır. İstismar edilən SSRF zəifliyi (CVE-2024-21893) 2023-cü ilin iyununda həll edilən açıq mənbəli Shibboleth XMLTooling kitabxanası ilə əlaqələndirilir.
Google-a məxsus Mandiant-ın CVE-2023-46805 və CVE-2024-21887-nin istismarını üzə çıxaran hesabatları ilə təhdid aktyorları vəziyyətdən tez istifadə etdilər. Bu istismarlar BUSHWALK, CHAINLINE, FRAMESTING və LIGHTWIRE daxil olmaqla müxtəlif fərdi veb qabıqlarını yerləşdirmək üçün istifadə edilmişdir.
Qlobal məruz qalma və cavab
Palo Alto Şəbəkələri Birliyinin 42-nin tapıntıları qlobal məruz qalma ilə bağlı narahatlıq doğurur, 28,474-145 yanvar 26-cü il tarixləri arasında 30 ölkədə Ivanti Connect Secure və Policy Secure-un 2024 nümunəsi aşkar edilib. Bundan əlavə, 610-cü il yanvarın 44-nə kimi 23 ölkədə 2024 təhlükə törətmiş nümunə müəyyən edilib. .
Artan təhdidlərə cavab olaraq, İvanti zəiflikləri aradan qaldırmaq üçün tədbirlər gördü. Onlar ikinci yumşaldıcı faylı buraxdılar və 1 fevral 2024-cü il tarixindən rəsmi yamaqların paylanmasına başladılar. Təşkilatlara bu yamaqları dərhal tətbiq etməyə və bu cür zəifliklərin və PoC istismarlarının yaratdığı riskləri azaltmaq üçün ciddi təhlükəsizlik tədbirləri həyata keçirməyə çağırılır.
Qarşısının alınması üçün ən yaxşı təcrübələr
Gələcək infeksiyaların və təhlükəsiz sistemlərin qarşısını almaq üçün təşkilatlar aşağıdakı ən yaxşı təcrübələri qəbul etməlidirlər:
- Yamaları dərhal tətbiq edin: Məlum zəiflikləri aradan qaldırmaq üçün proqram təminatçıları tərəfindən təmin edilən təhlükəsizlik yamaqlarını mütəmadi olaraq yeniləyin və tətbiq edin.
- Davamlı Monitorinq: Şəbəkə daxilində şübhəli fəaliyyətlər və potensial təhlükəsizlik təhdidləri üçün davamlı monitorinq həyata keçirin.
- Təhlükəsizlik Maarifləndirmə Təlimi: Potensial təhdidləri tanımaq və hesabat vermək üçün işçilər üçün müntəzəm təhlükəsizlik maarifləndirmə təlimləri keçirin.
- Şəbəkə Seqmentasiyası: Potensial pozuntuların təsirini məhdudlaşdırmaq və kritik sistemləri təcrid etmək üçün şəbəkə seqmentasiyasından istifadə edin.
- Qabaqcıl təhlükə kəşfiyyatından istifadə edin: Yaranan təhdidlər və zəifliklər haqqında məlumatlı olmaq üçün qabaqcıl təhlükə kəşfiyyatından istifadə edin.
Bu ən yaxşı təcrübələrə riayət etməklə təşkilatlar kibertəhlükəsizlik mövqeyini gücləndirə və CVE-2024-21893 kimi kritik zəiflikləri hədəf alan istismarların qurbanı olmaq riskini azalda bilər. İvanti məhsullar. Sayıqlıq, fəal təhlükəsizlik tədbirləri və vaxtında cavab tədbirləri bugünkü inkişaf edən təhlükə mənzərəsində vacibdir.