Zerbitzariaren aldeko eskaera faltsutze (SSRF) ahultasun kritiko bat, CVE-2024-21893 gisa identifikatua, eskala kezkagarrian ustiatu da berriki Ivanti Connect Secure eta Policy Secure produktuetan. Ahultasun honek kezka handiak sortu ditu zibersegurtasun komunitatean masiboki ustiatzeko saiakerengatik eta baimenik gabe sartzeko aukeragatik, alderantzizko shell bat ezartzeagatik.
CVE-2024-21893 ustiapenaren xehetasunak
Explotazioak CVE-2024-21893 zuzentzen du bereziki, Ivantiren produktuen Segurtasun Afirmazioaren Markatze Lengoaia (SAML) osagaiaren SSRF akats bat. Ahultasun horri esker, erasotzaileei baliabide mugatuak autentifikatu gabe atzitzeko aukera ematen die. Shadowserver Foundation-ek 170 IP helbide desberdinetatik gorako ustiapen-saiakerak gora egin duela jakinarazi du, egoeraren larritasuna azpimarratuz.
Nabarmentzekoa, Rapid7 zibersegurtasun enpresak CVE-2024-21893 eta CVE-2024-21887 konbinatzen dituen kontzeptu-froga (PoC) ustiapena kaleratu zuen, aurretik adabakitutako komandoen injekzio akatsa. Konbinazio honek autentifikatu gabeko urruneko kodearen exekuzioa errazten du, ahultasunarekin lotutako arriskuak areagotuz.
Ustiapen Paisaia eta Arriskuak
Egoera larriagotu egiten da Ivanti VPN aparatuetan kode irekiko osagai zaharkituak erabiltzeagatik, Will Dormann segurtasun ikertzaileak nabarmendu duenez. Ustiatutako SSRF ahultasuna (CVE-2024-21893) kode irekiko Shibboleth XMLTooling liburutegiarekin lotuta dago, 2023ko ekainean konpondu zena.
Mehatxu-eragileek azkar aprobetxatu dute egoera, eta Google-ren Mandiant-en txostenek CVE-2023-46805 eta CVE-2024-21887 ustiapena agerian utzi dute. Ustiapen hauek hainbat web shell pertsonalizatuak zabaltzeko erabili dira, besteak beste, BUSHWALK, CHAINLINE, FRAMESTING eta LIGHTWIRE.
Esposizio globala eta erantzuna
Palo Alto Networks Unit 42-ren aurkikuntzek mundu osoko esposizio kezkagarria adierazten dute, 28,474ko urtarrilaren 145tik 26era bitartean Ivanti Connect Secure eta Policy Secure 30 instantzia detektatu baitziren 2024 herrialdetan. Gainera, 610ko urtarrilaren 44an, 23 herrialdetan arriskuan dauden 2024 instantzia identifikatu ziren. .
Gero eta handiagoak diren mehatxuei erantzunez, Ivantik neurriak hartu ditu ahultasunei aurre egiteko. Bigarren arintze-fitxategi bat kaleratu zuten eta 1ko otsailaren 2024etik aurrera adabaki ofizialak banatzen hasi ziren. Erakundeei eskatzen zaie adabaki horiek berehala aplika ditzatela eta segurtasun-neurri zorrotzak ezar ditzatela ahultasun eta PoC ustiapen horiek dakartzaten arriskuak arintzeko.
Prebentziorako Praktika Egokiak
Etorkizuneko infekzioak eta sistema seguruak saihesteko, erakundeek praktika onak hartu beharko lituzkete:
- Aplikatu adabakiak berehala: Aldian-aldian eguneratu eta aplikatu software-saltzaileek emandako segurtasun-adabakiak ezagutzen diren ahuleziak konpontzeko.
- Etengabeko jarraipena: Jardueren susmagarrien eta segurtasun-mehatxu potentzialen etengabeko monitorizazioa ezarri sarean.
- Segurtasun-sentsibilizazio prestakuntza: Egin aldian-aldian segurtasunari buruzko sentsibilizazio prestakuntza langileek balizko mehatxuak ezagutu eta salatzeko.
- Sarearen segmentazioa: Erabili sarearen segmentazioa balizko urraketen eragina mugatzeko eta sistema kritikoak isolatzeko.
- Erabili mehatxuen adimen aurreratua: Erabili mehatxuen adimen aurreratua sortzen ari diren mehatxuei eta ahultasunei buruz informatuta egoteko.
Praktika egoki horiei atxikiz, erakundeek beren zibersegurtasun jarrera hobetu dezakete eta CVE-2024-21893 bezalako ahultasun kritikoei zuzendutako ustiapenen biktima erortzeko arriskua murriztu dezakete. Ivanta produktuak. Zaintza, segurtasun neurri proaktiboak eta erantzun puntualak ezinbestekoak dira gaur egungo mehatxuen panoraman.