Une vulnérabilité critique de falsification de requête côté serveur (SSRF), identifiée comme CVE-2024-21893, a récemment été exploitée à une échelle alarmante dans les produits Ivanti Connect Secure et Policy Secure. Cette vulnérabilité a suscité d'importantes inquiétudes au sein de la communauté de la cybersécurité en raison des tentatives d'exploitation massives et du potentiel d'accès non autorisé, y compris la mise en place d'un shell inversé.
Détails de l’exploitation CVE-2024-21893
L'exploit cible spécifiquement CVE-2024-21893, une faille SSRF dans le composant SAML (Security Assertion Markup Language) des produits Ivanti. Cette vulnérabilité permet aux attaquants d'accéder à des ressources restreintes sans authentification. La Shadowserver Foundation a signalé une augmentation des tentatives d'exploitation provenant de plus de 170 adresses IP distinctes, soulignant la gravité de la situation.
Notamment, la société de cybersécurité Rapid7 a publié un exploit de preuve de concept (PoC) qui combine CVE-2024-21893 avec CVE-2024-21887, une faille d'injection de commandes précédemment corrigée. Cette combinaison facilite l’exécution de code à distance non authentifié, augmentant ainsi les risques associés à la vulnérabilité.
Paysage d’exploitation et risques
La situation est exacerbée par l'utilisation de composants open source obsolètes dans les appliances Ivanti VPN, comme l'a souligné le chercheur en sécurité Will Dormann. La vulnérabilité SSRF exploitée (CVE-2024-21893) est associée à la bibliothèque open source Shibboleth XMLTooling, qui a été résolue en juin 2023.
Les acteurs malveillants n’ont pas tardé à tirer profit de la situation, avec des rapports de Mandiant, propriété de Google, révélant l’exploitation des CVE-2023-46805 et CVE-2024-21887. Ces exploits ont été utilisés pour déployer divers shells Web personnalisés, notamment BUSHWALK, CHAINLINE, FRAMESTING et LIGHTWIRE.
Exposition et réponse mondiales
Les résultats de Palo Alto Networks Unit 42 indiquent une exposition mondiale préoccupante, avec 28,474 145 instances d'Ivanti Connect Secure et Policy Secure détectées dans 26 pays entre le 30 et le 2024 janvier 610. En outre, 44 instances compromises ont été identifiées dans 23 pays au 2024 janvier XNUMX. .
En réponse à l'escalade des menaces, Ivanti a pris des mesures pour remédier aux vulnérabilités. Ils ont publié un deuxième fichier d'atténuation et lancé la distribution de correctifs officiels à compter du 1er février 2024. Les organisations sont invitées à appliquer rapidement ces correctifs et à mettre en œuvre des mesures de sécurité strictes pour atténuer les risques posés par ces vulnérabilités et exploits PoC.
Meilleures pratiques de prévention
Pour prévenir de futures infections et sécuriser les systèmes, les organisations doivent adopter les bonnes pratiques suivantes :
- Appliquer les correctifs rapidement : Mettez régulièrement à jour et appliquez les correctifs de sécurité fournis par les fournisseurs de logiciels pour corriger les vulnérabilités connues.
- Contrôle continu: Mettez en œuvre une surveillance continue des activités suspectes et des menaces de sécurité potentielles au sein du réseau.
- Formation de sensibilisation à la sécurité : Organisez régulièrement des formations de sensibilisation à la sécurité pour les employés afin de reconnaître et de signaler les menaces potentielles.
- Segmentation du réseau : Utilisez la segmentation du réseau pour limiter l’impact des violations potentielles et isoler les systèmes critiques.
- Utilisez des renseignements avancés sur les menaces : Tirez parti des renseignements avancés sur les menaces pour rester informé des menaces et des vulnérabilités émergentes.
En adhérant à ces bonnes pratiques, les organisations peuvent améliorer leur posture de cybersécurité et réduire le risque d'être victimes d'exploits ciblant des vulnérabilités critiques comme CVE-2024-21893 dans Ivanti des produits. La vigilance, les mesures de sécurité proactives et les réponses rapides sont essentielles dans le paysage des menaces en constante évolution.