Kriittinen palvelinpuolen pyyntöväärennösten (SSRF) haavoittuvuus, joka tunnetaan nimellä CVE-2024-21893, on hiljattain käytetty hälyttävässä mittakaavassa Ivanti Connect Secure- ja Policy Secure -tuotteissa. Tämä haavoittuvuus on herättänyt huomattavia huolenaiheita kyberturvallisuusyhteisössä massahyödyntämisyritysten ja mahdollisen luvattoman käytön vuoksi, mukaan lukien käänteisen kuoren luominen.
Yksityiskohdat CVE-2024-21893:n hyödyntämisestä
Hyödyntäminen kohdistuu erityisesti CVE-2024-21893:een, SSRF-virheeseen Ivantin tuotteiden SAML (Security Assertion Markup Language) -komponentissa. Tämän haavoittuvuuden ansiosta hyökkääjät voivat käyttää rajoitettuja resursseja ilman todennusta. Shadowserver Foundation ilmoitti yli 170 erillisestä IP-osoitteesta peräisin olevien hyväksikäyttöyritysten lisääntymisestä, mikä korosti tilanteen vakavuutta.
Erityisesti kyberturvallisuusyritys Rapid7 julkaisi proof-of-concept (PoC) -hyödynnyksen, joka yhdistää CVE-2024-21893:n ja CVE-2024-21887:n, joka on aiemmin korjattu komentojen lisäysvirhe. Tämä yhdistelmä mahdollistaa todentamattoman etäkoodin suorittamisen, mikä lisää haavoittuvuuteen liittyviä riskejä.
Hyödyntämismaisema ja riskit
Tilannetta pahentaa vanhentuneiden avoimen lähdekoodin komponenttien hyödyntäminen Ivanti VPN -laitteissa, kuten tietoturvatutkija Will Dormann korosti. Hyödynnetty SSRF-haavoittuvuus (CVE-2024-21893) liittyy avoimen lähdekoodin Shibboleth XMLTooling -kirjastoon, joka korjattiin kesäkuussa 2023.
Uhkailijat ovat nopeasti hyödyntäneet tilannetta, ja Googlen omistaman Mandiantin raportit paljastavat CVE-2023-46805 ja CVE-2024-21887 hyväksikäytön. Näitä hyväksikäyttöjä on käytetty erilaisten mukautettujen web-kuvien käyttöönotossa, mukaan lukien BUSHWALK, CHAINLINE, FRAMESTING ja LIGHTWIRE.
Globaali altistuminen ja vaste
Palo Alto Networks Unit 42:n havainnot osoittavat huolestuttavan maailmanlaajuisen altistumisen: 28,474 145 Ivanti Connect Secure- ja Policy Secure -tapausta havaittiin 26 maassa 30.-2024. tammikuuta 610. Lisäksi 44 vaarantunutta tapausta tunnistettiin 23 maassa 2024. tammikuuta XNUMX. .
Vastauksena lisääntyviin uhkiin Ivanti on ryhtynyt toimiin haavoittuvuuksien korjaamiseksi. He julkaisivat toisen lievennystiedoston ja aloittivat virallisten korjaustiedostojen jakelun 1. helmikuuta 2024 alkaen. Organisaatioita kehotetaan ottamaan nämä korjaustiedostot nopeasti käyttöön ja toteuttamaan tiukat turvatoimenpiteet tällaisten haavoittuvuuksien ja PoC-hyödyntämisen aiheuttamien riskien vähentämiseksi.
Ennaltaehkäisyn parhaat käytännöt
Tulevien tartuntojen estämiseksi ja järjestelmien turvaamiseksi organisaatioiden tulee ottaa käyttöön seuraavat parhaat käytännöt:
- Kiinnitä korjaustiedostot välittömästi: Päivitä ja asenna ohjelmistotoimittajien toimittamat tietoturvakorjaukset säännöllisesti tunnettujen haavoittuvuuksien korjaamiseksi.
- Jatkuva seuranta: Ota käyttöön jatkuva valvonta epäilyttävien toimintojen ja mahdollisten tietoturvauhkien varalta verkossa.
- Turvallisuustietoisuuskoulutus: Järjestä työntekijöille säännöllistä turvallisuustietoisuuskoulutusta mahdollisten uhkien tunnistamiseksi ja raportoimiseksi.
- Verkon segmentointi: Käytä verkon segmentointia mahdollisten tietomurtojen vaikutusten rajoittamiseksi ja kriittisten järjestelmien eristämiseksi.
- Hyödynnä Advanced Threat Intelligence: Hyödynnä kehittynyttä uhkatietoa pysyäksesi ajan tasalla uusista uhista ja haavoittuvuuksista.
Näitä parhaita käytäntöjä noudattamalla organisaatiot voivat parantaa kyberturvallisuusasentoaan ja vähentää riskiä joutua kriittisiin haavoittuvuuksiin, kuten CVE-2024-21893, kohdistuvien hyväksikäyttöjen uhriksi. Ivanta Tuotteet. Valppaus, ennakoivat turvatoimenpiteet ja oikea-aikaiset vastaukset ovat tärkeitä nykypäivän kehittyvässä uhkaympäristössä.