Mae bregusrwydd critigol ar gyfer ceisiadau ochr y gweinydd (SSRF), a nodwyd fel CVE-2024-21893, wedi cael ei ecsbloetio’n ddiweddar ar raddfa frawychus yng nghynhyrchion Ivanti Connect Secure a Policy Secure. Mae’r bregusrwydd hwn wedi codi pryderon sylweddol o fewn y gymuned seiberddiogelwch oherwydd yr ymdrechion i ecsbloetio torfol a’r potensial ar gyfer mynediad heb awdurdod, gan gynnwys sefydlu cragen o chwith.
Manylion CVE-2024-21893 Camfanteisio
Mae'r camfanteisio yn targedu CVE-2024-21893 yn benodol, nam SSRF o fewn y gydran Iaith Marcio Honiad Diogelwch (SAML) o gynhyrchion Ivanti. Mae'r bregusrwydd hwn yn caniatáu i ymosodwyr gael mynediad at adnoddau cyfyngedig heb ddilysu. Adroddodd Sefydliad Shadowserver ymchwydd mewn ymdrechion camfanteisio yn deillio o dros 170 o gyfeiriadau IP gwahanol, gan bwysleisio difrifoldeb y sefyllfa.
Yn nodedig, rhyddhaodd y cwmni seiberddiogelwch Rapid7 ecsbloetio prawf-cysyniad (PoC) sy'n cyfuno CVE-2024-21893 â CVE-2024-21887, diffyg pigiad gorchymyn a oedd yn glytiog yn flaenorol. Mae'r cyfuniad hwn yn hwyluso gweithredu cod o bell heb ei ddilysu, gan gynyddu'r risgiau sy'n gysylltiedig â'r bregusrwydd.
Tirwedd Camfanteisio a Risgiau
Gwaethygir y sefyllfa gan y defnydd o gydrannau ffynhonnell agored hen ffasiwn o fewn offer Ivanti VPN, fel yr amlygwyd gan yr ymchwilydd diogelwch Will Dormann. Mae'r bregusrwydd SSRF a ecsbloetiwyd (CVE-2024-21893) yn gysylltiedig â llyfrgell ffynhonnell agored Shibboleth XMLTooling, a ddatryswyd ym mis Mehefin 2023.
Mae gweithredwyr bygythiad wedi bod yn gyflym i fanteisio ar y sefyllfa, gydag adroddiadau gan Mandiant, sy'n eiddo i Google, yn datgelu ymelwa ar CVE-2023-46805 a CVE-2024-21887. Mae'r campau hyn wedi'u defnyddio i ddefnyddio amrywiol gregyn gwe wedi'u teilwra, gan gynnwys Bushwalk, CHAINLINE, FRAMESTING, a LIGHTWIRE.
Amlygiad Byd-eang ac Ymateb
Mae canfyddiadau Palo Alto Networks Uned 42 yn nodi amlygiad byd-eang sy'n peri pryder, gyda 28,474 o achosion o Ivanti Connect Secure a Policy Secure wedi'u canfod mewn 145 o wledydd rhwng Ionawr 26 a 30, 2024. Ymhellach, nodwyd 610 o achosion dan fygythiad ar draws 44 o wledydd o Ionawr 23, 2024. .
Mewn ymateb i'r bygythiadau cynyddol, mae Ivanti wedi cymryd mesurau i fynd i'r afael â'r gwendidau. Fe wnaethant ryddhau ail ffeil liniaru a chychwyn dosbarthiad clytiau swyddogol o Chwefror 1, 2024. Anogir sefydliadau i gymhwyso'r clytiau hyn yn brydlon a gweithredu mesurau diogelwch llym i liniaru'r risgiau a achosir gan wendidau o'r fath a chamfanteisio PoC.
Arferion Gorau ar gyfer Atal
Er mwyn atal heintiau yn y dyfodol a systemau diogel, dylai sefydliadau fabwysiadu'r arferion gorau canlynol:
- Gwneud Clytiau'n Brydlon: Diweddaru a chymhwyso clytiau diogelwch a ddarperir gan werthwyr meddalwedd yn rheolaidd i fynd i'r afael â gwendidau hysbys.
- Monitro Parhaus: Gweithredu monitro parhaus ar gyfer gweithgareddau amheus a bygythiadau diogelwch posibl o fewn y rhwydwaith.
- Hyfforddiant Ymwybyddiaeth o Ddiogelwch: Cynnal hyfforddiant ymwybyddiaeth diogelwch rheolaidd i weithwyr er mwyn adnabod ac adrodd am fygythiadau posibl.
- Segmentu Rhwydwaith: Defnyddio segmentiad rhwydwaith i gyfyngu ar effaith toriadau posibl ac ynysu systemau critigol.
- Defnyddio Cudd-wybodaeth Bygythiad Uwch: Trosoledd cudd-wybodaeth bygythiad uwch i gael y wybodaeth ddiweddaraf am fygythiadau a gwendidau sy'n dod i'r amlwg.
Trwy gadw at yr arferion gorau hyn, gall sefydliadau wella eu hosgo seiberddiogelwch a lleihau'r risg o ddioddef camfanteisio sy'n targedu gwendidau critigol fel CVE-2024-21893 yn Ivanta cynnyrch. Mae gwyliadwriaeth, mesurau diogelwch rhagweithiol, ac ymatebion amserol yn hanfodol yn y dirwedd fygythiad sy'n esblygu heddiw.