Kritična ranjivost krivotvorenja zahtjeva na strani poslužitelja (SSRF), identificirana kao CVE-2024-21893, nedavno je iskorištena u alarmantnoj mjeri u proizvodima Ivanti Connect Secure i Policy Secure. Ova je ranjivost izazvala značajnu zabrinutost unutar zajednice kibernetičke sigurnosti zbog masovnih pokušaja iskorištavanja i mogućnosti neovlaštenog pristupa, uključujući uspostavu obrnute ljuske.
Pojedinosti o CVE-2024-21893 eksploataciji
Eksploatacija posebno cilja na CVE-2024-21893, SSRF grešku unutar komponente Security Assertion Markup Language (SAML) Ivantijevih proizvoda. Ova ranjivost omogućuje napadačima pristup ograničenim resursima bez provjere autentičnosti. Zaklada Shadowserver izvijestila je o porastu pokušaja iskorištavanja koji potječu s više od 170 različitih IP adresa, naglašavajući ozbiljnost situacije.
Naime, tvrtka za kibernetičku sigurnost Rapid7 objavila je iskorištavanje dokaza koncepta (PoC) koje kombinira CVE-2024-21893 s CVE-2024-21887, prethodno zakrpanom greškom ubrizgavanja naredbi. Ova kombinacija olakšava neautorizirano daljinsko izvršavanje koda, povećavajući rizike povezane s ranjivošću.
Krajolik eksploatacije i rizici
Situacija je pogoršana korištenjem zastarjelih komponenti otvorenog koda unutar Ivanti VPN uređaja, kao što je istaknuo istraživač sigurnosti Will Dormann. Iskorištena SSRF ranjivost (CVE-2024-21893) povezana je s bibliotekom otvorenog koda Shibboleth XMLTooling, koja je riješena u lipnju 2023.
Akteri prijetnji brzo su iskoristili situaciju, s izvješćima Mandianta u vlasništvu Googlea koji otkrivaju iskorištavanje CVE-2023-46805 i CVE-2024-21887. Ovi podvigi korišteni su za implementaciju raznih prilagođenih web ljuski, uključujući BUSHWALK, CHAINLINE, FRAMESTING i LIGHTWIRE.
Globalna izloženost i odgovor
Nalazi Palo Alto Networks Unit 42 ukazuju na zabrinjavajuću globalnu izloženost, s 28,474 instance Ivanti Connect Secure i Policy Secure otkrivene u 145 zemalja između 26. i 30. siječnja 2024. Nadalje, 610 kompromitiranih instanci identificirano je u 44 zemlje do 23. siječnja 2024. .
Kao odgovor na sve veće prijetnje, Ivanti je poduzeo mjere za rješavanje ranjivosti. Izdali su drugu datoteku za ublažavanje i započeli distribuciju službenih zakrpa od 1. veljače 2024. Organizacije se pozivaju da odmah primijene te zakrpe i provedu stroge sigurnosne mjere za ublažavanje rizika koje predstavljaju takve ranjivosti i iskorištavanja PoC-a.
Najbolje prakse za prevenciju
Kako bi spriječile buduće infekcije i osigurale sustave, organizacije bi trebale usvojiti sljedeće najbolje prakse:
- Odmah primijenite zakrpe: Redovito ažurirajte i primijenite sigurnosne zakrpe koje pružaju dobavljači softvera kako biste riješili poznate ranjivosti.
- Kontinuirano praćenje: Implementirajte kontinuirano praćenje sumnjivih aktivnosti i potencijalnih sigurnosnih prijetnji unutar mreže.
- Obuka o svijesti o sigurnosti: Provodite redovitu obuku o svijesti o sigurnosti za zaposlenike kako bi prepoznali i prijavili potencijalne prijetnje.
- Segmentacija mreže: Upotrijebite segmentaciju mreže kako biste ograničili utjecaj potencijalnih proboja i izolirali kritične sustave.
- Iskoristite naprednu inteligenciju prijetnji: Iskoristite naprednu inteligenciju prijetnji kako biste ostali informirani o novim prijetnjama i ranjivostima.
Pridržavajući se ovih najboljih praksi, organizacije mogu poboljšati svoju kibersigurnosnu poziciju i smanjiti rizik da postanu žrtve eksploatacija usmjerenih na kritične ranjivosti kao što je CVE-2024-21893 u Ivanti proizvoda. Budnost, proaktivne sigurnosne mjere i pravovremeni odgovori ključni su u današnjem okruženju prijetnji koje se razvijaju.