Սերվերի կողմից հարցումների կեղծման (SSRF) կարևոր խոցելիությունը, որը նույնականացվել է որպես CVE-2024-21893, վերջերս տագնապալի մասշտաբով օգտագործվել է Ivanti Connect Secure և Policy Secure արտադրանքներում: Այս խոցելիությունը զգալի մտահոգություններ է առաջացրել կիբերանվտանգության համայնքում` կապված զանգվածային շահագործման փորձերի և չարտոնված մուտքի հնարավորության հետ, ներառյալ հակադարձ կեղևի ստեղծումը:
CVE-2024-21893 շահագործման մանրամասները
Շահագործումը հատուկ ուղղված է CVE-2024-21893-ին, որը SSRF-ի թերությունն է Ivanti-ի արտադրանքի Security Assertion Markup Language (SAML) բաղադրիչում: Այս խոցելիությունը հարձակվողներին թույլ է տալիս մուտք գործել սահմանափակ ռեսուրսներ՝ առանց նույնականացման: Shadowserver Foundation-ը զեկուցել է ավելի քան 170 տարբեր IP հասցեներից առաջացած շահագործման փորձերի աճի մասին՝ ընդգծելով իրավիճակի սրությունը:
Հատկանշական է, որ կիբերանվտանգության Rapid7 ընկերությունը թողարկել է հայեցակարգի ապացույց (PoC) շահագործում, որը համատեղում է CVE-2024-21893-ը CVE-2024-21887-ի հետ՝ նախկինում կարկատված հրամանի ներարկման թերություն: Այս համակցությունը հեշտացնում է չհաստատված հեռակա կոդի կատարումը՝ մեծացնելով խոցելիության հետ կապված ռիսկերը:
Շահագործման լանդշաֆտ և ռիսկեր
Իրավիճակը սրվում է Ivanti VPN սարքերում հնացած բաց կոդով բաղադրիչների կիրառմամբ, ինչպես ընդգծել է անվտանգության հետազոտող Ուիլ Դորմանը: Շահագործվող SSRF խոցելիությունը (CVE-2024-21893) կապված է բաց կոդով Shibboleth XMLTooling գրադարանի հետ, որը լուծվել է 2023 թվականի հունիսին:
Սպառնալիքի դերակատարներն արագորեն օգտվեցին իրավիճակից, Google-ին պատկանող Mandiant-ի զեկույցներով բացահայտում էին CVE-2023-46805 և CVE-2024-21887-ի շահագործումը: Այս շահագործումներն օգտագործվել են տարբեր մաքսային վեբ պատյաններ տեղակայելու համար, ներառյալ BUSHWALK, CHAINLINE, FRAMESTING և LIGHTWIRE:
Համաշխարհային բացահայտում և արձագանք
Palo Alto Networks Unit 42-ի բացահայտումները ցույց են տալիս մտահոգիչ գլոբալ բացահայտում, երբ Ivanti Connect Secure-ի և Policy Secure-ի 28,474 դեպք է հայտնաբերվել 145 երկրում 26 թվականի հունվարի 30-ից 2024-ն ընկած ժամանակահատվածում: Ավելին, 610 վտանգված դեպքեր են հայտնաբերվել 44 երկրներում հունվարի 23-ում: .
Ի պատասխան աճող սպառնալիքների՝ Իվանտին միջոցներ է ձեռնարկել խոցելի տեղերը վերացնելու համար։ Նրանք թողարկեցին երկրորդ մեղմացման ֆայլը և նախաձեռնեցին պաշտոնական պատչերի բաշխումը 1 թվականի փետրվարի 2024-ից: Կազմակերպություններին կոչ է արվում անհապաղ կիրառել այդ պատչերը և կիրառել անվտանգության խիստ միջոցներ՝ նման խոցելիություններից և PoC շահագործումներից բխող ռիսկերը մեղմելու համար:
Լավագույն պրակտիկա կանխարգելման համար
Ապագա վարակների և անվտանգ համակարգերի կանխարգելման համար կազմակերպությունները պետք է ընդունեն հետևյալ լավագույն փորձը.
- Անմիջապես կիրառեք պատչերը. Պարբերաբար թարմացրեք և կիրառեք ծրագրային ապահովման վաճառողների կողմից տրամադրված անվտանգության պատչերը՝ հայտնի խոցելիությունները վերացնելու համար:
- Շարունակական մոնիտորինգ. Իրականացնել ցանցի ներսում կասկածելի գործողությունների և անվտանգության հնարավոր սպառնալիքների շարունակական մոնիտորինգ:
- Անվտանգության իրազեկման ուսուցում. Անվտանգության վերաբերյալ իրազեկման կանոնավոր դասընթացներ անցկացրեք աշխատակիցների համար՝ հնարավոր սպառնալիքները ճանաչելու և զեկուցելու համար:
- Ցանցի հատվածավորում. Օգտագործեք ցանցի սեգմենտավորում՝ հնարավոր խախտումների ազդեցությունը սահմանափակելու և կարևոր համակարգերը մեկուսացնելու համար:
- Օգտագործեք առաջադեմ սպառնալիքների հետախուզություն. Օգտագործեք առաջադեմ սպառնալիքների հետախուզություն՝ առաջացող սպառնալիքների և խոցելիությունների մասին տեղեկացված լինելու համար:
Հավատարիմ մնալով այս լավագույն փորձին, կազմակերպությունները կարող են բարելավել իրենց կիբերանվտանգության դիրքը և նվազեցնել այն չարաշահումների զոհ դառնալու ռիսկը, որոնք ուղղված են այնպիսի կարևոր խոցելիություններին, ինչպիսին է CVE-2024-21893-ը: Իվանտին ապրանքներ. Զգոնությունը, անվտանգության ակտիվ միջոցառումները և ժամանակին արձագանքները կարևոր են այսօրվա զարգացող սպառնալիքների լանդշաֆտում: