פגיעות קריטית של זיוף בקשות בצד השרת (SSRF), שזוהתה כ-CVE-2024-21893, נוצלה לאחרונה בקנה מידה מדאיג במוצרי Ivanti Connect Secure ו-Policy Secure. פגיעות זו עוררה חששות משמעותיים בקהילת אבטחת הסייבר עקב ניסיונות הניצול ההמוניים והפוטנציאל לגישה לא מורשית, כולל הקמת מעטפת הפוכה.
פרטים על ניצול CVE-2024-21893
הניצול מכוון במיוחד ל-CVE-2024-21893, פגם SSRF ברכיב Security Assertion Markup Language (SAML) במוצרים של Ivanti. פגיעות זו מאפשרת לתוקפים לגשת למשאבים מוגבלים ללא אימות. קרן Shadowserver דיווחה על עלייה בניסיונות ניצול שמקורם בלמעלה מ-170 כתובות IP נפרדות, והדגישה את חומרת המצב.
במיוחד, חברת אבטחת הסייבר Rapid7 פרסמה ניצול הוכחת מושג (PoC) המשלב CVE-2024-21893 עם CVE-2024-21887, פגם בהזרקת פקודה שתוקן בעבר. שילוב זה מקל על ביצוע קוד מרחוק לא מאומת, ומעלה את הסיכונים הקשורים לפגיעות.
ניצול נוף וסיכונים
המצב מחמיר על ידי השימוש ברכיבי קוד פתוח מיושנים בתוך מכשירי Ivanti VPN, כפי שהדגיש חוקר האבטחה וויל דורמן. פגיעות ה-SSRF המנוצלת (CVE-2024-21893) קשורה לספריית הקוד הפתוח Shibboleth XMLTooling, אשר נפתרה ביוני 2023.
שחקני איומים מיהרו לנצל את המצב, עם דיווחים מ-Mandiant בבעלות גוגל חושפים את הניצול של CVE-2023-46805 ו-CVE-2024-21887. ניצולים אלה שימשו לפריסת מעטפות אינטרנט מותאמות אישית שונות, כולל BUSHWALK, CHAINLINE, FRAMESTING ו-LIGHTWIRE.
חשיפה ותגובה גלובלית
הממצאים של Palo Alto Networks Unit 42 מצביעים על חשיפה גלובלית, עם 28,474 מקרים של Ivanti Connect Secure ו-Policy Secure שזוהו ב-145 מדינות בין ה-26 ל-30 בינואר 2024. יתרה מכך, 610 מקרים שנפגעו זוהו ב-44 מדינות נכון ל-23 בינואר, 2024 בינואר. .
בתגובה לאיומים המתגברים, איבנטי נקטה באמצעים כדי לטפל בנקודות התורפה. הם פרסמו קובץ הפחתה שני ויזמו את הפצת התיקונים הרשמיים החל מה-1 בפברואר 2024. ארגונים מתבקשים להחיל את התיקונים הללו באופן מיידי וליישם אמצעי אבטחה מחמירים כדי להפחית את הסיכונים הנשקפים מפגיעויות כאלה וניצול PoC.
שיטות עבודה מומלצות למניעה
כדי למנוע זיהומים עתידיים ומערכות מאובטחות, ארגונים צריכים לאמץ את השיטות המומלצות הבאות:
- החל תיקונים מייד: עדכן והחל באופן קבוע תיקוני אבטחה שסופקו על ידי ספקי תוכנה כדי לטפל בפרצות ידועות.
- ניטור רציף: הפעל ניטור רציף אחר פעילויות חשודות ואיומי אבטחה פוטנציאליים בתוך הרשת.
- הדרכה בנושא מודעות לאבטחה: ערכו הדרכות קבועות למודעות לאבטחה לעובדים כדי לזהות ולדווח על איומים פוטנציאליים.
- פילוח רשת: השתמש בפילוח רשת כדי להגביל את ההשפעה של הפרות אפשריות ולבודד מערכות קריטיות.
- השתמש באינטליגנציה מתקדמת: מנף מודיעין איומים מתקדם כדי להישאר מעודכן לגבי איומים ופגיעות מתעוררים.
על ידי הקפדה על שיטות עבודה מומלצות אלה, ארגונים יכולים לשפר את עמדת אבטחת הסייבר שלהם ולהפחית את הסיכון ליפול קורבן לניצולים המתמקדים בפרצות קריטיות כמו CVE-2024-21893 ב איוונטי מוצרים. ערנות, אמצעי אבטחה פרואקטיביים ותגובות בזמן חיוניים בנוף האיומים המתפתח של היום.