Una vulnerabilitat crítica de falsificació de sol·licituds del servidor (SSRF), identificada com a CVE-2024-21893, s'ha explotat recentment a una escala alarmant als productes Ivanti Connect Secure i Policy Secure. Aquesta vulnerabilitat ha suscitat preocupacions importants a la comunitat de ciberseguretat a causa dels intents d'explotació massiva i el potencial d'accés no autoritzat, inclòs l'establiment d'un shell invers.
Dades de l'explotació CVE-2024-21893
L'explotació s'adreça específicament a CVE-2024-21893, una fallada SSRF dins del component Security Assertion Markup Language (SAML) dels productes d'Ivanti. Aquesta vulnerabilitat permet als atacants accedir a recursos restringits sense autenticació. La Fundació Shadowserver va informar d'un augment dels intents d'explotació originats a partir de més de 170 adreces IP diferents, posant èmfasi en la gravetat de la situació.
En particular, l'empresa de ciberseguretat Rapid7 va llançar una explotació de prova de concepte (PoC) que combina CVE-2024-21893 amb CVE-2024-21887, una fallada d'injecció de comandaments prèviament pegada. Aquesta combinació facilita l'execució de codi remot no autenticat, augmentant els riscos associats a la vulnerabilitat.
Paisatge d'explotació i Riscos
La situació es veu agreujada per la utilització de components de codi obert obsolets dins dels aparells VPN Ivanti, tal com va destacar l'investigador de seguretat Will Dormann. La vulnerabilitat SSRF explotada (CVE-2024-21893) està associada a la biblioteca de codi obert Shibboleth XMLTooling, que es va resoldre el juny de 2023.
Els actors de l'amenaça han aprofitat ràpidament la situació, amb informes de Mandiant, propietat de Google, que revelen l'explotació de CVE-2023-46805 i CVE-2024-21887. Aquests exploits s'han utilitzat per desplegar diverses shells web personalitzades, com ara BUSHWALK, CHAINLINE, FRAMESTING i LIGHTWIRE.
Exposició i resposta globals
Les troballes de la Unitat 42 de Palo Alto Networks indiquen una exposició global preocupant, amb 28,474 casos d'Ivanti Connect Secure i Policy Secure detectats a 145 països entre el 26 i el 30 de gener de 2024. A més, es van identificar 610 instàncies compromeses en 44 països el 23 de gener de 2024. .
En resposta a les amenaces creixents, Ivanti ha pres mesures per abordar les vulnerabilitats. Van publicar un segon fitxer de mitigació i van iniciar la distribució de pedaços oficials a partir de l'1 de febrer de 2024. Es demana a les organitzacions que apliquen ràpidament aquests pedaços i implementin mesures de seguretat estrictes per mitigar els riscos que presenten aquestes vulnerabilitats i explotacions de PoC.
Bones pràctiques per a la prevenció
Per prevenir futures infeccions i sistemes segurs, les organitzacions haurien d'adoptar les millors pràctiques següents:
- Apliqueu els pedaços ràpidament: Actualitzeu i apliqueu periòdicament pegats de seguretat proporcionats pels proveïdors de programari per abordar les vulnerabilitats conegudes.
- Seguiment continu: Implementar un seguiment continu d'activitats sospitoses i potencials amenaces de seguretat dins de la xarxa.
- Formació de conscienciació sobre seguretat: Realitzeu formació periòdica de conscienciació sobre seguretat perquè els empleats reconeguin i denuncien possibles amenaces.
- Segmentació de la xarxa: Utilitzeu la segmentació de la xarxa per limitar l'impacte de possibles incompliments i aïllar els sistemes crítics.
- Utilitzeu la intel·ligència d'amenaça avançada: Aprofiteu la intel·ligència d'amenaces avançada per mantenir-vos informat sobre les amenaces i vulnerabilitats emergents.
En adherir-se a aquestes bones pràctiques, les organitzacions poden millorar la seva postura de ciberseguretat i reduir el risc de ser víctimes d'explotacions dirigides a vulnerabilitats crítiques com CVE-2024-21893 a Ivanta productes. La vigilància, les mesures de seguretat proactives i les respostes oportunes són essencials en el panorama actual d'amenaces en evolució.