CVE-2024-21893 として識別される重大なサーバー側リクエスト フォージェリ (SSRF) の脆弱性が、最近、Ivanti Connect Secure および Policy Secure 製品で驚くべき規模で悪用されています。この脆弱性は、リバース シェルの確立を含む大量悪用の試みと不正アクセスの可能性により、サイバーセキュリティ コミュニティ内で重大な懸念を引き起こしています。
CVE-2024-21893 エクスプロイトの詳細
このエクスプロイトは、Ivanti 製品の Security Assertion Markup Language (SAML) コンポーネント内の SSRF 欠陥である CVE-2024-21893 を特にターゲットにしています。この脆弱性により、攻撃者は認証なしで制限されたリソースにアクセスできます。 Shadowserver Foundation は、170 以上の異なる IP アドレスから悪用の試みが急増していると報告し、状況の深刻さを強調しました。
特に、サイバーセキュリティ企業 Rapid7 は、CVE-2024-21893 と、以前にパッチが適用されたコマンド インジェクションの欠陥である CVE-2024-21887 を組み合わせた概念実証 (PoC) エクスプロイトをリリースしました。この組み合わせにより、認証されていないリモート コードの実行が容易になり、脆弱性に関連するリスクが増大します。
悪用の状況とリスク
セキュリティ研究者の Will Dormann 氏が強調したように、Ivanti VPN アプライアンス内での時代遅れのオープンソース コンポーネントの利用によって状況はさらに悪化しています。悪用された SSRF 脆弱性 (CVE-2024-21893) は、オープンソースの Shibboleth XMLTooling ライブラリに関連しており、2023 年 XNUMX 月に解決されました。
脅威アクターはこの状況を素早く利用しており、Google 傘下の Mandiant からの報告により CVE-2023-46805 および CVE-2024-21887 の悪用が明らかになりました。これらのエクスプロイトは、BUSHwalk、CHAINLINE、FRAMESTING、LIGHTWIRE などのさまざまなカスタム Web シェルを展開するために使用されています。
世界的な暴露と対応
パロアルトネットワークス Unit 42 の調査結果は、28,474 年 145 月 26 日から 30 日までに 2024 か国で Ivanti Connect Secure および Policy Secure の 610 件のインスタンスが検出され、懸念される世界規模のエクスポージャーを示しています。さらに、44 年 23 月 2024 日の時点で、XNUMX か国で XNUMX 件の侵害されたインスタンスが特定されています。 。
エスカレートする脅威に対応して、Ivanti は脆弱性に対処するための措置を講じました。彼らは 1 番目の緩和ファイルをリリースし、2024 年 XNUMX 月 XNUMX 日から公式パッチの配布を開始しました。組織はこれらのパッチを速やかに適用し、このような脆弱性や PoC エクスプロイトによってもたらされるリスクを軽減するために厳格なセキュリティ対策を導入することが求められています。
予防のためのベストプラクティス
将来の感染を防ぎ、システムを保護するには、組織は次のベスト プラクティスを採用する必要があります。
- パッチをすぐに適用します。 既知の脆弱性に対処するために、ソフトウェア ベンダーが提供するセキュリティ パッチを定期的に更新して適用します。
- 継続的な監視: ネットワーク内の不審なアクティビティや潜在的なセキュリティ脅威を継続的に監視します。
- セキュリティ意識向上トレーニング: 従業員が潜在的な脅威を認識して報告できるように、セキュリティ意識向上トレーニングを定期的に実施します。
- ネットワーク セグメンテーション: ネットワークのセグメンテーションを採用して、潜在的な侵害の影響を制限し、重要なシステムを隔離します。
- 高度な脅威インテリジェンスを活用します。 高度な脅威インテリジェンスを活用して、新たな脅威や脆弱性に関する最新情報を入手します。
これらのベスト プラクティスに従うことで、組織はサイバーセキュリティ体制を強化し、CVE-2024-21893 のような重大な脆弱性を標的としたエクスプロイトの被害者になるリスクを軽減できます。 イヴァンティ 製品。今日の進化する脅威の状況では、警戒、プロアクティブなセキュリティ対策、タイムリーな対応が不可欠です。