Kriitiline serveripoolse päringu võltsimise (SSRF) haavatavus, mille nimi on CVE-2024-21893, on hiljuti murettekitavas ulatuses ära kasutatud Ivanti Connect Secure'i ja Policy Secure'i toodetes. See haavatavus on tekitanud küberturvalisuse kogukonnas märkimisväärset muret massilise ärakasutamise katsete ja võimaliku volitamata juurdepääsu, sealhulgas pöördkesta loomise tõttu.
Üksikasjad CVE-2024-21893 kasutamise kohta
Ärakasutamine on suunatud konkreetselt CVE-2024-21893-le, mis on Ivanti toodete SAML-i komponendi turvalisuse kinnituskeele SSRF-viga. See haavatavus võimaldab ründajatel juurdepääsu piiratud ressurssidele ilma autentimiseta. Varjuserveri sihtasutus teatas enam kui 170 erinevalt IP-aadressilt pärinevate ekspluateerimiskatsete suurenemisest, rõhutades olukorra tõsidust.
Eelkõige andis küberturvalisuse ettevõte Rapid7 välja kontseptsiooni tõestuse (PoC), mis ühendab CVE-2024-21893 ja CVE-2024-21887, mis on varem paigatud käsu sisestamise viga. See kombinatsioon hõlbustab autentimata koodi kaugkäivitamist, suurendades haavatavusega seotud riske.
Kasutusmaastik ja riskid
Olukorda halvendab Ivanti VPN-i seadmetes vananenud avatud lähtekoodiga komponentide kasutamine, nagu rõhutas turvateadlane Will Dormann. Kasutatud SSRF-i haavatavus (CVE-2024-21893) on seotud avatud lähtekoodiga Shibboleth XMLToolingi teegiga, mis lahendati 2023. aasta juunis.
Ohutegijad on olukorda kiiresti ära kasutanud, Google'ile kuuluva Mandianti raportid paljastavad CVE-2023-46805 ja CVE-2024-21887 ärakasutamise. Neid ärakasutusi on kasutatud erinevate kohandatud veebikestade juurutamiseks, sealhulgas BUSHWALK, CHAINLINE, FRAMESTING ja LIGHTWIRE.
Globaalne kokkupuude ja reageerimine
Palo Alto Networks Unit 42 leiud viitavad globaalsele kokkupuutele: 28,474 145 Ivanti Connect Secure'i ja Policy Secure'i juhtumit tuvastati 26 riigis ajavahemikus 30.–2024. jaanuar 610. Lisaks tuvastati 44. aasta 23. jaanuari seisuga 2024 ohustatud juhtumit XNUMX riigis. .
Vastuseks eskaleeruvatele ohtudele on Ivanti võtnud meetmeid haavatavuste kõrvaldamiseks. Nad avaldasid teise leevendusfaili ja alustasid ametlike paikade levitamist alates 1. veebruarist 2024. Organisatsioone kutsutakse üles neid plaastreid kiiresti rakendama ja rakendama rangeid turvameetmeid, et leevendada sellistest haavatavustest ja PoC ärakasutamistest tulenevaid riske.
Ennetamise parimad tavad
Tulevaste nakkuste vältimiseks ja süsteemide turvalisuse tagamiseks peaksid organisatsioonid järgima järgmisi parimaid tavasid:
- Rakendage plaastrid kohe: Teadaolevate haavatavuste kõrvaldamiseks värskendage ja rakendage regulaarselt tarkvaratootjate pakutavaid turvapaiku.
- Pidev jälgimine: Rakendage võrgus kahtlaste tegevuste ja võimalike turvaohtude pidevat jälgimist.
- Turvateadlikkuse koolitus: Viige töötajatele regulaarselt läbi turvateadlikkuse koolitust, et võimalikke ohte ära tunda ja neist teada anda.
- Võrgu segmentimine: Võimalike rikkumiste mõju piiramiseks ja kriitiliste süsteemide isoleerimiseks kasutage võrgu segmenteerimist.
- Kasutage täiustatud ohuteavet: Kasutage arenenud ohtude luureandmeid, et olla kursis tekkivate ohtude ja haavatavustega.
Nendest parimatest tavadest kinni pidades saavad organisatsioonid parandada oma küberjulgeoleku hoiakut ja vähendada ohtu sattuda kriitilistele haavatavustele (nt CVE-2024-21893) suunatud ärakasutuste ohvriks. Ivanta tooted. Valvsus, ennetavad turvameetmed ja õigeaegsed reageerimised on tänapäeva areneval ohumaastikul olulised.