Una vulnerabilidad crítica de falsificación de solicitudes del lado del servidor (SSRF), identificada como CVE-2024-21893, ha sido explotada recientemente a una escala alarmante en los productos Ivanti Connect Secure y Policy Secure. Esta vulnerabilidad ha generado importantes preocupaciones dentro de la comunidad de ciberseguridad debido a los intentos de explotación masiva y el potencial de acceso no autorizado, incluido el establecimiento de un shell inverso.
Detalles de la explotación CVE-2024-21893
El exploit apunta específicamente a CVE-2024-21893, una falla SSRF dentro del componente Security Assertion Markup Language (SAML) de los productos de Ivanti. Esta vulnerabilidad permite a los atacantes acceder a recursos restringidos sin autenticación. La Fundación Shadowserver informó de un aumento en los intentos de explotación provenientes de más de 170 direcciones IP distintas, enfatizando la gravedad de la situación.
En particular, la empresa de ciberseguridad Rapid7 lanzó un exploit de prueba de concepto (PoC) que combina CVE-2024-21893 con CVE-2024-21887, una falla de inyección de comandos previamente parcheada. Esta combinación facilita la ejecución remota de código no autenticado, lo que aumenta los riesgos asociados con la vulnerabilidad.
Panorama de explotación y riesgos
La situación se ve agravada por la utilización de componentes obsoletos de código abierto dentro de los dispositivos VPN de Ivanti, como destacó el investigador de seguridad Will Dormann. La vulnerabilidad SSRF explotada (CVE-2024-21893) está asociada con la biblioteca de código abierto Shibboleth XMLTooling, que se resolvió en junio de 2023.
Los actores de amenazas se apresuraron a sacar provecho de la situación, con informes de Mandiant, propiedad de Google, que revelan la explotación de CVE-2023-46805 y CVE-2024-21887. Estos exploits se han utilizado para implementar varios shells web personalizados, incluidos BUSHWALK, CHAINLINE, FRAMESTING y LIGHTWIRE.
Exposición y respuesta global
Los hallazgos de la Unidad 42 de Palo Alto Networks indican una exposición global preocupante, con 28,474 instancias de Ivanti Connect Secure y Policy Secure detectadas en 145 países entre el 26 y el 30 de enero de 2024. Además, se identificaron 610 instancias comprometidas en 44 países al 23 de enero de 2024. .
En respuesta a la escalada de amenazas, Ivanti ha tomado medidas para abordar las vulnerabilidades. Publicaron un segundo archivo de mitigación e iniciaron la distribución de parches oficiales a partir del 1 de febrero de 2024. Se insta a las organizaciones a aplicar rápidamente estos parches e implementar estrictas medidas de seguridad para mitigar los riesgos que plantean dichas vulnerabilidades y exploits de PoC.
Mejores prácticas para la prevención
Para prevenir futuras infecciones y proteger los sistemas, las organizaciones deben adoptar las siguientes mejores prácticas:
- Aplique parches rápidamente: Actualice y aplique periódicamente parches de seguridad proporcionados por los proveedores de software para abordar las vulnerabilidades conocidas.
- Monitoreo continuo: Implemente un monitoreo continuo de actividades sospechosas y posibles amenazas a la seguridad dentro de la red.
- Entrenamiento de conciencia de seguridad: Realice periódicamente capacitaciones sobre concientización sobre la seguridad para que los empleados reconozcan e informen sobre posibles amenazas.
- Segmentación de la red: Emplee la segmentación de la red para limitar el impacto de posibles infracciones y aislar los sistemas críticos.
- Utilice inteligencia avanzada sobre amenazas: Aproveche la inteligencia de amenazas avanzada para mantenerse informado sobre amenazas y vulnerabilidades emergentes.
Al seguir estas mejores prácticas, las organizaciones pueden mejorar su postura de ciberseguridad y reducir el riesgo de ser víctimas de exploits dirigidos a vulnerabilidades críticas como CVE-2024-21893 en Ivanta productos. La vigilancia, las medidas de seguridad proactivas y las respuestas oportunas son esenciales en el cambiante panorama de amenazas actual.