Unha vulnerabilidade crítica de falsificación de solicitudes no servidor (SSRF), identificada como CVE-2024-21893, explotouse recentemente a unha escala alarmante nos produtos Ivanti Connect Secure e Policy Secure. Esta vulnerabilidade suscita importantes preocupacións na comunidade da ciberseguridade debido aos intentos de explotación masiva e ao potencial de acceso non autorizado, incluído o establecemento dun shell inverso.
Datos da explotación CVE-2024-21893
O exploit ten como obxectivo especificamente CVE-2024-21893, unha falla SSRF dentro do compoñente SAML (Security Assertion Markup Language) dos produtos de Ivanti. Esta vulnerabilidade permite aos atacantes acceder a recursos restrinxidos sen autenticación. A Shadowserver Foundation informou dun aumento dos intentos de explotación orixinados a partir de máis de 170 enderezos IP distintos, facendo fincapé na gravidade da situación.
En particular, a empresa de ciberseguridade Rapid7 lanzou un exploit de proba de concepto (PoC) que combina CVE-2024-21893 con CVE-2024-21887, un fallo de inxección de comandos previamente parcheado. Esta combinación facilita a execución remota de código non autenticado, aumentando os riscos asociados á vulnerabilidade.
Explotación Paisaxe e Riscos
A situación vese agravada pola utilización de compoñentes obsoletos de código aberto dentro dos dispositivos VPN de Ivanti, como destacou o investigador de seguridade Will Dormann. A vulnerabilidade SSRF explotada (CVE-2024-21893) está asociada á biblioteca Shibboleth XMLTooling de código aberto, que foi resolta en xuño de 2023.
Os actores das ameazas non tardaron en sacar proveito da situación, e os informes de Mandiant, propiedade de Google, revelan a explotación de CVE-2023-46805 e CVE-2024-21887. Estes exploits utilizáronse para implementar varios shells web personalizados, incluíndo BUSHWALK, CHAINLINE, FRAMESTING e LIGHTWIRE.
Exposición e resposta global
Os descubrimentos da Unidade 42 de Palo Alto Networks indican unha exposición global preocupante, con 28,474 instancias de Ivanti Connect Secure e Policy Secure detectadas en 145 países entre o 26 e o 30 de xaneiro de 2024. Ademais, identificáronse 610 instancias comprometidas en 44 países a partir do 23 de xaneiro de 2024. .
En resposta ás ameazas crecentes, Ivanti tomou medidas para abordar as vulnerabilidades. Lanzaron un segundo ficheiro de mitigación e iniciaron a distribución de parches oficiais a partir do 1 de febreiro de 2024. Instáselles ás organizacións a que apliquen rapidamente estes parches e implementen medidas de seguridade rigorosas para mitigar os riscos que supoñen tales vulnerabilidades e exploits de PoC.
Mellores prácticas para a prevención
Para evitar futuras infeccións e sistemas seguros, as organizacións deben adoptar as seguintes mellores prácticas:
- Aplicar parches rapidamente: Actualice e aplique regularmente parches de seguranza proporcionados polos provedores de software para resolver as vulnerabilidades coñecidas.
- Seguimento continuo: Implementar un seguimento continuo de actividades sospeitosas e potenciais ameazas de seguridade dentro da rede.
- Formación de concienciación sobre seguridade: Realizar un adestramento regular de concienciación sobre a seguridade para que os empregados recoñezan e informen posibles ameazas.
- Segmentación da rede: Empregue a segmentación da rede para limitar o impacto de posibles brechas e illar os sistemas críticos.
- Utiliza intelixencia avanzada sobre ameazas: Aproveita a intelixencia de ameazas avanzada para manterte informado sobre as ameazas e vulnerabilidades emerxentes.
Ao adherirse a estas mellores prácticas, as organizacións poden mellorar a súa postura de ciberseguridade e reducir o risco de ser vítimas de explotacións dirixidas a vulnerabilidades críticas como CVE-2024-21893 en Ivanta produtos. A vixilancia, as medidas de seguridade proactivas e as respostas oportunas son esenciais no panorama de ameazas en evolución actual.