Kritična ranjivost na krivotvorenje zahtjeva na strani servera (SSRF), identificirana kao CVE-2024-21893, nedavno je eksploatirana u alarmantnim razmjerima u proizvodima Ivanti Connect Secure i Policy Secure. Ova ranjivost je izazvala značajnu zabrinutost unutar zajednice sajber sigurnosti zbog pokušaja masovne eksploatacije i potencijala za neovlašteni pristup, uključujući uspostavljanje obrnute ljuske.
Detalji eksploatacije CVE-2024-21893
Eksploatacija je posebno usmjerena na CVE-2024-21893, SSRF propust unutar komponente Security Assertion Markup Language (SAML) komponenti Ivantijevih proizvoda. Ova ranjivost omogućava napadačima pristup ograničenim resursima bez provjere autentičnosti. Shadowserver Foundation je izvijestila o porastu pokušaja eksploatacije koji potiču sa preko 170 različitih IP adresa, naglašavajući ozbiljnost situacije.
Značajno je da je firma za cyber sigurnost Rapid7 objavila exploit za dokaz koncepta (PoC) koji kombinuje CVE-2024-21893 sa CVE-2024-21887, prethodno zakrpljenu grešku ubrizgavanja komandi. Ova kombinacija olakšava neautorizovano daljinsko izvršavanje koda, povećavajući rizike povezane sa ranjivosti.
Eksploatacioni pejzaž i rizici
Situacija je pogoršana korištenjem zastarjelih komponenti otvorenog koda unutar Ivanti VPN uređaja, kao što je istakao sigurnosni istraživač Will Dormann. Iskorištena SSRF ranjivost (CVE-2024-21893) povezana je sa bibliotekom Shibboleth XMLTooling otvorenog koda, koja je riješena u junu 2023.
Akteri prijetnji su brzo iskoristili situaciju, a izvještaji kompanije Mandiant u vlasništvu Googlea otkrivaju eksploataciju CVE-2023-46805 i CVE-2024-21887. Ovi eksploati su korišteni za implementaciju različitih prilagođenih web ljuski, uključujući BUSHWALK, CHAINLINE, FRAMESTING i LIGHTWIRE.
Globalna izloženost i odgovor
Nalazi Palo Alto Networks Jedinice 42 ukazuju na zabrinjavajuću globalnu izloženost, sa 28,474 slučaja Ivanti Connect Secure i Policy Secure otkrivenih u 145 zemalja između 26. i 30. januara 2024. Nadalje, 610 kompromitovanih instanci je identifikovano u 44 zemlje, do 23. januara 2024. .
Kao odgovor na sve veće prijetnje, Ivanti je poduzeo mjere za rješavanje ranjivosti. Objavili su drugi fajl za ublažavanje i pokrenuli distribuciju službenih zakrpa od 1. februara 2024. Organizacije se pozivaju da odmah primjene ove zakrpe i implementiraju stroge sigurnosne mjere kako bi ublažile rizike koje predstavljaju takve ranjivosti i PoC eksploatacije.
Najbolje prakse za prevenciju
Da bi se spriječile buduće infekcije i sigurni sistemi, organizacije bi trebale usvojiti sljedeće najbolje prakse:
- Odmah primijenite zakrpe: Redovno ažurirajte i primjenjujte sigurnosne zakrpe koje obezbjeđuju proizvođači softvera kako biste riješili poznate ranjivosti.
- Kontinuirano praćenje: Implementirajte kontinuirano praćenje sumnjivih aktivnosti i potencijalnih sigurnosnih prijetnji unutar mreže.
- Obuka podizanja svijesti o sigurnosti: Sprovodite redovnu obuku za podizanje svijesti o sigurnosti kako bi zaposlenici prepoznali i prijavili potencijalne prijetnje.
- Segmentacija mreže: Upotrijebite segmentaciju mreže kako biste ograničili utjecaj potencijalnih proboja i izolirali kritične sisteme.
- Iskoristite naprednu inteligenciju prijetnji: Iskoristite naprednu inteligenciju o prijetnjama kako biste ostali informirani o novim prijetnjama i ranjivostima.
Pridržavajući se ovih najboljih praksi, organizacije mogu poboljšati svoj stav u vezi s kibernetičkom sigurnošću i smanjiti rizik da postanu žrtve eksploatacije usmjerene na kritične ranjivosti kao što je CVE-2024-21893 u Ivanta proizvodi. Budnost, proaktivne sigurnosne mjere i pravovremeni odgovori su od suštinskog značaja u današnjem okruženju prijetnji koje se razvija.