Kerentanan pemalsuan permintaan sisi server (SSRF) yang kritis, yang diidentifikasi sebagai CVE-2024-21893, baru-baru ini dieksploitasi pada skala yang mengkhawatirkan di produk Ivanti Connect Secure dan Policy Secure. Kerentanan ini telah menimbulkan kekhawatiran yang signifikan dalam komunitas keamanan siber karena upaya eksploitasi massal dan potensi akses tidak sah, termasuk pembuatan reverse shell.
Detail Eksploitasi CVE-2024-21893
Eksploitasi ini secara khusus menargetkan CVE-2024-21893, sebuah kelemahan SSRF dalam komponen Security Assertion Markup Language (SAML) pada produk Ivanti. Kerentanan ini memungkinkan penyerang mengakses sumber daya terbatas tanpa autentikasi. Shadowserver Foundation melaporkan lonjakan upaya eksploitasi yang berasal dari lebih dari 170 alamat IP berbeda, yang menekankan betapa parahnya situasi ini.
Khususnya, perusahaan keamanan siber Rapid7 merilis eksploitasi proof-of-concept (PoC) yang menggabungkan CVE-2024-21893 dengan CVE-2024-21887, sebuah kelemahan injeksi perintah yang sebelumnya telah ditambal. Kombinasi ini memfasilitasi eksekusi kode jarak jauh yang tidak diautentikasi, sehingga meningkatkan risiko yang terkait dengan kerentanan.
Lanskap dan Risiko Eksploitasi
Situasi ini diperburuk oleh penggunaan komponen sumber terbuka yang sudah ketinggalan zaman dalam peralatan Ivanti VPN, seperti yang disoroti oleh peneliti keamanan Will Dormann. Kerentanan SSRF yang dieksploitasi (CVE-2024-21893) dikaitkan dengan pustaka sumber terbuka Shibboleth XMLTooling, yang diselesaikan pada Juni 2023.
Pelaku ancaman dengan cepat memanfaatkan situasi ini, dengan laporan dari Mandiant milik Google yang mengungkapkan eksploitasi CVE-2023-46805 dan CVE-2024-21887. Eksploitasi ini telah digunakan untuk menyebarkan berbagai shell web khusus, termasuk BUSHWALK, CHAINLINE, FRAMESTING, dan LIGHTWIRE.
Paparan dan Respon Global
Temuan Palo Alto Networks Unit 42 menunjukkan paparan global yang mengkhawatirkan, dengan 28,474 contoh Ivanti Connect Secure dan Policy Secure terdeteksi di 145 negara antara tanggal 26 dan 30 Januari 2024. Selain itu, 610 contoh yang disusupi diidentifikasi di 44 negara pada tanggal 23 Januari 2024 .
Menanggapi meningkatnya ancaman, Ivanti telah mengambil tindakan untuk mengatasi kerentanan tersebut. Mereka merilis file mitigasi kedua dan memulai distribusi patch resmi pada tanggal 1 Februari 2024. Organisasi didesak untuk segera menerapkan patch ini dan menerapkan langkah-langkah keamanan yang ketat untuk memitigasi risiko yang ditimbulkan oleh kerentanan dan eksploitasi PoC tersebut.
Praktik Terbaik untuk Pencegahan
Untuk mencegah infeksi di masa depan dan mengamankan sistem, organisasi harus menerapkan praktik terbaik berikut:
- Terapkan Patch Segera: Perbarui dan terapkan patch keamanan secara berkala yang disediakan oleh vendor perangkat lunak untuk mengatasi kerentanan yang diketahui.
- Pemantauan Berkelanjutan: Menerapkan pemantauan berkelanjutan untuk aktivitas mencurigakan dan potensi ancaman keamanan dalam jaringan.
- Pelatihan Kesadaran Keamanan: Melakukan pelatihan kesadaran keamanan secara berkala bagi karyawan untuk mengenali dan melaporkan potensi ancaman.
- Segmentasi Jaringan: Gunakan segmentasi jaringan untuk membatasi dampak potensi pelanggaran dan mengisolasi sistem penting.
- Memanfaatkan Kecerdasan Ancaman Tingkat Lanjut: Manfaatkan intelijen ancaman tingkat lanjut untuk tetap mendapat informasi tentang ancaman dan kerentanan yang muncul.
Dengan mematuhi praktik terbaik ini, organisasi dapat meningkatkan postur keamanan siber mereka dan mengurangi risiko menjadi korban eksploitasi yang menargetkan kerentanan kritis seperti CVE-2024-21893 di Ivanta produk. Kewaspadaan, langkah-langkah keamanan proaktif, dan respons tepat waktu sangat penting dalam lanskap ancaman yang terus berkembang saat ini.