Крытычна важная ўразлівасць падробкі запытаў на баку сервера (SSRF), ідэнтыфікаваная як CVE-2024-21893, нядаўна выкарыстоўвалася ў пагрозлівых маштабах у прадуктах Ivanti Connect Secure і Policy Secure. Гэтая ўразлівасць выклікала значную занепакоенасць у супольнасці кібербяспекі з-за масавых спроб выкарыстання і магчымасці несанкцыянаванага доступу, у тым ліку стварэння зваротнай абалонкі.
Падрабязная інфармацыя аб эксплуатацыі CVE-2024-21893
Эксплойт спецыяльна накіраваны на CVE-2024-21893, недахоп SSRF у кампаненце Security Assertion Markup Language (SAML) прадуктаў Ivanti. Гэтая ўразлівасць дазваляе зламыснікам атрымліваць доступ да абмежаваных рэсурсаў без аўтэнтыфікацыі. Фонд Shadowserver паведаміў пра ўсплёск спроб выкарыстання з больш чым 170 розных IP-адрасоў, падкрэсліваючы сур'ёзнасць сітуацыі.
Характэрна, што фірма па кібербяспецы Rapid7 выпусціла эксплойт для пацверджання канцэпцыі (PoC), які аб'ядноўвае CVE-2024-21893 з CVE-2024-21887, раней выпраўленым недахопам увядзення каманд. Гэта спалучэнне палягчае выдаленае выкананне кода без аўтэнтыфікацыі, павялічваючы рызыкі, звязаныя з уразлівасцю.
Ландшафт эксплуатацыі і рызыкі
Сітуацыя пагаршаецца выкарыстаннем састарэлых кампанентаў з адкрытым зыходным кодам у прыладах Ivanti VPN, як падкрэсліў даследчык бяспекі Уіл Дорман. Выкарыстаная ўразлівасць SSRF (CVE-2024-21893) звязана з бібліятэкай Shibboleth XMLTooling з адкрытым зыходным кодам, якая была ліквідавана ў чэрвені 2023 года.
Суб'екты пагрозы хутка скарысталіся сітуацыяй: у справаздачах кампаніі Mandiant, якая належыць Google, выяўляецца выкарыстанне CVE-2023-46805 і CVE-2024-21887. Гэтыя эксплойты выкарыстоўваліся для разгортвання розных уласных вэб-абалонак, у тым ліку BUSHWALK, CHAINLINE, FRAMESTING і LIGHTWIRE.
Глабальнае ўздзеянне і адказ
Высновы падраздзялення Palo Alto Networks Unit 42 паказваюць на трывожную глабальную экспазіцыю: у перыяд з 28,474 па 145 студзеня 26 г. у 30 краінах было выяўлена 2024 610 экземпляры Ivanti Connect Secure і Policy Secure. Акрамя таго, па стане на 44 студзеня 23 г. у 2024 краінах было выяўлена XNUMX узламаных асобнікаў. .
У адказ на эскалацыю пагроз Ivanti прыняў меры па ліквідацыі ўразлівасцяў. Яны выпусцілі другі файл змякчэння наступстваў і пачалі распаўсюджванне афіцыйных патчаў з 1 лютага 2024 г. Арганізацыям настойліва рэкамендуецца неадкладна прымяніць гэтыя патчы і ўжыць строгія меры бяспекі для зніжэння рызык, звязаных з такімі ўразлівасцямі і эксплойтамі PoC.
Лепшыя практыкі для прафілактыкі
Каб прадухіліць заражэнне ў будучыні і забяспечыць бяспеку сістэм, арганізацыі павінны прыняць наступныя лепшыя практыкі:
- Ужывайце патчы хутка: Рэгулярна абнаўляйце і ўжывайце патчы бяспекі ад пастаўшчыкоў праграмнага забеспячэння для ліквідацыі вядомых уразлівасцяў.
- Пастаянны маніторынг: Рэалізуйце пастаянны маніторынг падазроных дзеянняў і патэнцыйных пагроз бяспекі ўнутры сеткі.
- Навучанне па бяспецы: Праводзіце рэгулярныя трэнінгі па бяспецы для супрацоўнікаў, каб распазнаваць патэнцыйныя пагрозы і паведамляць пра іх.
- Сегментацыя сеткі: Выкарыстоўвайце сегментацыю сеткі, каб абмежаваць уплыў патэнцыйных узломаў і ізаляваць важныя сістэмы.
- Выкарыстоўвайце Advanced Threat Intelligence: Скарыстайцеся пашыранай інфармацыяй аб пагрозах, каб быць у курсе новых пагроз і ўразлівасцяў.
Прытрымліваючыся гэтых перадавых практык, арганізацыі могуць павысіць сваю кібербяспеку і знізіць рызыку стаць ахвярай эксплойтаў, накіраваных на крытычныя ўразлівасці, такія як CVE-2024-21893 у Іванці прадукты. Пільнасць, актыўныя меры бяспекі і своечасовае рэагаванне вельмі важныя ў сучасным свеце пагроз, якія змяняюцца.