Μια κρίσιμη ευπάθεια πλαστογράφησης αιτημάτων από την πλευρά του διακομιστή (SSRF), που προσδιορίζεται ως CVE-2024-21893, έχει πρόσφατα αξιοποιηθεί σε ανησυχητική κλίμακα στα προϊόντα Ivanti Connect Secure και Policy Secure. Αυτή η ευπάθεια έχει εγείρει σημαντικές ανησυχίες στην κοινότητα της κυβερνοασφάλειας λόγω των προσπαθειών μαζικής εκμετάλλευσης και της πιθανότητας μη εξουσιοδοτημένης πρόσβασης, συμπεριλαμβανομένης της δημιουργίας ενός αντίστροφου κελύφους.
Στοιχεία CVE-2024-21893 Exploitation
Το exploit στοχεύει συγκεκριμένα το CVE-2024-21893, ένα ελάττωμα SSRF στο στοιχείο Security Assertion Markup Language (SAML) των προϊόντων της Ivanti. Αυτή η ευπάθεια επιτρέπει στους εισβολείς να έχουν πρόσβαση σε περιορισμένους πόρους χωρίς έλεγχο ταυτότητας. Το Shadowserver Foundation ανέφερε μια αύξηση των προσπαθειών εκμετάλλευσης που προέρχονται από περισσότερες από 170 διαφορετικές διευθύνσεις IP, τονίζοντας τη σοβαρότητα της κατάστασης.
Συγκεκριμένα, η εταιρεία κυβερνοασφάλειας Rapid7 κυκλοφόρησε ένα exploit απόδειξης ιδέας (PoC) που συνδυάζει το CVE-2024-21893 με το CVE-2024-21887, ένα ελάττωμα ένεσης εντολών που είχε επιδιορθωθεί στο παρελθόν. Αυτός ο συνδυασμός διευκολύνει την εκτέλεση απομακρυσμένου κώδικα χωρίς έλεγχο ταυτότητας, κλιμακώνοντας τους κινδύνους που σχετίζονται με την ευπάθεια.
Τοπίο εκμετάλλευσης και κίνδυνοι
Η κατάσταση επιδεινώνεται από τη χρήση ξεπερασμένων στοιχείων ανοιχτού κώδικα στις συσκευές Ivanti VPN, όπως τόνισε ο ερευνητής ασφάλειας Will Dormann. Η εκμεταλλευόμενη ευπάθεια SSRF (CVE-2024-21893) σχετίζεται με τη βιβλιοθήκη ανοιχτού κώδικα Shibboleth XMLTooling, η οποία επιλύθηκε τον Ιούνιο του 2023.
Οι φορείς απειλών έσπευσαν να εκμεταλλευτούν την κατάσταση, με αναφορές από την Mandiant που ανήκει στην Google να αποκαλύπτουν την εκμετάλλευση των CVE-2023-46805 και CVE-2024-21887. Αυτά τα exploits έχουν χρησιμοποιηθεί για την ανάπτυξη διαφόρων προσαρμοσμένων κελύφους ιστού, συμπεριλαμβανομένων των BUSHWALK, CHAINLINE, FRAMESTING και LIGHTWIRE.
Παγκόσμια έκθεση και ανταπόκριση
Τα ευρήματα του Palo Alto Networks Unit 42 υποδεικνύουν μια ανησυχητική παγκόσμια έκθεση, με 28,474 περιπτώσεις Ivanti Connect Secure και Policy Secure που εντοπίστηκαν σε 145 χώρες μεταξύ 26 και 30 Ιανουαρίου 2024. Επιπλέον, εντοπίστηκαν 610 παραβιασμένες περιπτώσεις σε 44 χώρες, σε 23 χώρες .
Ως απάντηση στις κλιμακούμενες απειλές, ο Ivanti έχει λάβει μέτρα για την αντιμετώπιση των τρωτών σημείων. Δημοσίευσαν ένα δεύτερο αρχείο μετριασμού και ξεκίνησαν τη διανομή επίσημων ενημερώσεων κώδικα από την 1η Φεβρουαρίου 2024. Οι οργανισμοί καλούνται να εφαρμόσουν αμέσως αυτές τις ενημερώσεις κώδικα και να εφαρμόσουν αυστηρά μέτρα ασφαλείας για τον μετριασμό των κινδύνων που ενέχουν τέτοιες ευπάθειες και εκμεταλλεύσεις PoC.
Βέλτιστες πρακτικές για την πρόληψη
Για την πρόληψη μελλοντικών μολύνσεων και ασφαλών συστημάτων, οι οργανισμοί θα πρέπει να υιοθετήσουν τις ακόλουθες βέλτιστες πρακτικές:
- Εφαρμόστε τα μπαλώματα αμέσως: Ενημερώνετε και εφαρμόζετε τακτικά ενημερώσεις κώδικα ασφαλείας που παρέχονται από προμηθευτές λογισμικού για την αντιμετώπιση γνωστών τρωτών σημείων.
- Συνεχής παρακολούθηση: Εφαρμόστε συνεχή παρακολούθηση για ύποπτες δραστηριότητες και πιθανές απειλές ασφαλείας εντός του δικτύου.
- Εκπαίδευση ευαισθητοποίησης για την ασφάλεια: Διεξάγετε τακτική εκπαίδευση ευαισθητοποίησης σχετικά με την ασφάλεια για τους υπαλλήλους ώστε να αναγνωρίζουν και να αναφέρουν πιθανές απειλές.
- Τμηματοποίηση δικτύου: Χρησιμοποιήστε την τμηματοποίηση δικτύου για να περιορίσετε τον αντίκτυπο πιθανών παραβιάσεων και να απομονώσετε κρίσιμα συστήματα.
- Χρησιμοποιήστε προηγμένη νοημοσύνη απειλών: Αξιοποιήστε προηγμένη ευφυΐα απειλών για να μείνετε ενημερωμένοι σχετικά με τις αναδυόμενες απειλές και τα τρωτά σημεία.
Με την τήρηση αυτών των βέλτιστων πρακτικών, οι οργανισμοί μπορούν να βελτιώσουν τη στάση τους στον κυβερνοχώρο και να μειώσουν τον κίνδυνο να πέσουν θύματα εκμεταλλεύσεων που στοχεύουν σε κρίσιμα τρωτά σημεία όπως το CVE-2024-21893 στο Ιβάντι προϊόντα. Η επαγρύπνηση, τα προληπτικά μέτρα ασφαλείας και οι έγκαιρες απαντήσεις είναι απαραίτητα στο σημερινό εξελισσόμενο τοπίο απειλών.