A CVE-2024-21893 néven azonosított kritikus szerveroldali kérelem-hamisítási (SSRF) biztonsági rést a közelmúltban riasztó mértékben kihasználták az Ivanti Connect Secure és Policy Secure termékekben. Ez a sérülékenység jelentős aggodalmakat váltott ki a kiberbiztonsági közösségben a tömeges kizsákmányolási kísérletek és az illetéktelen hozzáférés lehetősége miatt, beleértve a fordított héj létrehozását.
A CVE-2024-21893 kiaknázásának részletei
A kizsákmányolás kifejezetten a CVE-2024-21893-at célozza meg, amely egy SSRF hiba az Ivanti termékeinek Security Assertion Markup Language (SAML) összetevőjében. Ez a biztonsági rés lehetővé teszi a támadók számára, hogy hitelesítés nélkül hozzáférjenek a korlátozott erőforrásokhoz. A Shadowserver Foundation a több mint 170 különböző IP-címről származó hasznosítási kísérletek megugrásáról számolt be, hangsúlyozva a helyzet súlyosságát.
Nevezetesen, a Rapid7 kiberbiztonsági cég kiadott egy koncepcióbizonyítványt (PoC), amely a CVE-2024-21893 és a CVE-2024-21887 korábban javított parancsbefecskendezési hibáját kombinálja. Ez a kombináció lehetővé teszi a hitelesítés nélküli távoli kódfuttatást, növelve a sérülékenységgel kapcsolatos kockázatokat.
Kiaknázási táj és kockázatok
A helyzetet súlyosbítja az elavult, nyílt forráskódú összetevők használata az Ivanti VPN-eszközökön belül, amint azt Will Dormann biztonsági kutató is kiemelte. A kihasznált SSRF sebezhetőség (CVE-2024-21893) a nyílt forráskódú Shibboleth XMLTooling könyvtárhoz kapcsolódik, amelyet 2023 júniusában oldottak meg.
A fenyegetés szereplői gyorsan kamatoztatták a helyzetet, a Google tulajdonában lévő Mandiant jelentései felfedték a CVE-2023-46805 és a CVE-2024-21887 kiaknázását. Ezeket az exploitokat különféle egyéni webhéjak telepítésére használták, beleértve a BUSHWALK-t, a CHAINLINE-t, a FRAMESTING-et és a LIGHTWIRE-t.
Globális expozíció és válasz
A Palo Alto Networks Unit 42 megállapításai globális kitettségre utalnak: 28,474. január 145. és 26. között 30 2024 Ivanti Connect Secure és Policy Secure esetet észleltek 610 országban. Ezenkívül 44. január 23-án 2024 országban XNUMX feltört esetet azonosítottak. .
A fokozódó fenyegetésekre válaszul Ivanti intézkedéseket hozott a sebezhetőségek kezelésére. Kiadtak egy második enyhítő fájlt, és 1. február 2024-től megkezdték a hivatalos javítások terjesztését. A szervezeteket arra kérik, hogy haladéktalanul alkalmazzák ezeket a javításokat, és hajtsanak végre szigorú biztonsági intézkedéseket az ilyen sérülékenységek és a PoC-kihasználások által jelentett kockázatok mérséklésére.
A megelőzés legjobb gyakorlatai
A jövőbeli fertőzések megelőzése és a rendszerek biztonságossá tétele érdekében a szervezeteknek a következő bevált gyakorlatokat kell alkalmazniuk:
- A javítások azonnali alkalmazása: Rendszeresen frissítse és alkalmazza a szoftvergyártók által biztosított biztonsági javításokat az ismert sebezhetőségek kiküszöbölése érdekében.
- Folyamatos monitorozás: Folyamatos megfigyelés a gyanús tevékenységek és a potenciális biztonsági fenyegetések esetén a hálózaton belül.
- Biztonsági tudatosság képzés: Végezzen rendszeres biztonsági tudatosítási tréninget az alkalmazottak számára, hogy felismerjék és jelentsék a lehetséges fenyegetéseket.
- Hálózati szegmentáció: Alkalmazza a hálózati szegmentálást a potenciális jogsértések hatásának korlátozása és a kritikus rendszerek elkülönítése érdekében.
- Fejlett fenyegetési intelligencia használata: Használja ki a fejlett fenyegetések intelligenciáját, hogy tájékozott maradjon a felmerülő fenyegetésekről és sebezhetőségekről.
E bevált gyakorlatok betartásával a szervezetek javíthatják kiberbiztonsági helyzetüket, és csökkenthetik annak kockázatát, hogy a kritikus sebezhetőségeket célzó kihasználások áldozatává váljanak, mint például a CVE-2024-21893. Ivanta Termékek. Az éberség, a proaktív biztonsági intézkedések és az időben történő válaszadás elengedhetetlenek a mai változó fenyegetési környezetben.