Kerentanan panjalukan sisi server kritis (SSRF), sing diidentifikasi minangka CVE-2024-21893, bubar dieksploitasi kanthi skala sing nguwatirake ing produk Ivanti Connect Secure lan Policy Secure. Kerentanan iki nyebabake keprihatinan sing signifikan ing komunitas cybersecurity amarga upaya eksploitasi massal lan potensial akses sing ora sah, kalebu nggawe cangkang terbalik.
Rincian CVE-2024-21893 Eksploitasi
Eksploitasi kasebut khusus nargetake CVE-2024-21893, cacat SSRF ing komponen Security Assertion Markup Language (SAML) saka produk Ivanti. Kerentanan iki ngidini panyerang ngakses sumber daya sing diwatesi tanpa otentikasi. Yayasan Shadowserver nglaporake lonjakan ing upaya eksploitasi sing asale saka luwih saka 170 alamat IP sing beda-beda, nandheske keruwetan kahanan kasebut.
Utamane, perusahaan cybersecurity Rapid7 ngeculake eksploitasi bukti-konsep (PoC) sing nggabungake CVE-2024-21893 karo CVE-2024-21887, cacat injeksi prentah sing sadurunge ditambal. Kombinasi iki nggampangake eksekusi kode remot sing ora dikonfirmasi, nambah risiko sing ana gandhengane karo kerentanan kasebut.
Lanskap Eksploitasi lan Resiko
Kahanan kasebut saya tambah akeh amarga nggunakake komponen open-source sing wis lawas ing piranti Ivanti VPN, kaya sing disorot dening peneliti keamanan Will Dormann. Kerentanan SSRF sing dieksploitasi (CVE-2024-21893) digandhengake karo perpustakaan Shibboleth XMLTooling open-source, sing ditanggulangi ing Juni 2023.
Aktor ancaman cepet-cepet ngetrapake kahanan kasebut, kanthi laporan saka Mandiant sing diduweni Google ngungkapake eksploitasi CVE-2023-46805 lan CVE-2024-21887. Eksploitasi iki wis digunakake kanggo masang macem-macem cangkang web khusus, kalebu BUSHWALK, CHAINLINE, FRAMESTING, lan LIGHTWIRE.
Eksposur lan Tanggapan Global
Temuan Palo Alto Networks Unit 42 nuduhake paparan global, kanthi 28,474 kasus Ivanti Connect Secure lan Policy Secure sing dideteksi ing 145 negara antarane 26 lan 30 Januari 2024. .
Nanggepi ancaman sing saya mundhak, Ivanti wis njupuk langkah kanggo ngatasi kerentanan kasebut. Dheweke ngeculake file mitigasi kaping pindho lan miwiti distribusi patch resmi wiwit tanggal 1 Februari 2024. Organisasi disaranake supaya cepet ngetrapake patch kasebut lan ngetrapake langkah-langkah keamanan sing ketat kanggo nyuda risiko sing ditimbulake dening kerentanan lan eksploitasi PoC kasebut.
Laku paling apik kanggo Nyegah
Kanggo nyegah infeksi ing mangsa ngarep lan sistem sing aman, organisasi kudu ngetrapake praktik paling apik ing ngisor iki:
- Aplikasi Patches Cepet: Nganyari kanthi rutin lan aplikasi patch keamanan sing diwenehake dening vendor piranti lunak kanggo ngatasi kerentanan sing dikenal.
- Monitoring terus menerus: Ngleksanakake ngawasi terus kanggo aktivitas curiga lan potensial ancaman keamanan ing jaringan.
- Pelatihan Kesadaran Keamanan: Nindakake latihan kesadaran keamanan biasa kanggo karyawan kanggo ngenali lan nglaporake ancaman potensial.
- Segmentasi jaringan: Gunakake segmentasi jaringan kanggo mbatesi dampak potensial pelanggaran lan ngisolasi sistem kritis.
- Gunakake Advanced Threat Intelligence: Mupangat intelijen ancaman sing luwih maju kanggo tetep ngerti babagan ancaman lan kerentanan sing muncul.
Kanthi netepi praktik paling apik kasebut, organisasi bisa ningkatake postur keamanan siber lan nyuda risiko dadi korban eksploitasi sing nargetake kerentanan kritis kaya CVE-2024-21893 ing Ivanta produk. Kewaspadaan, langkah-langkah keamanan sing proaktif, lan tanggapan sing pas wektune penting ing lanskap ancaman sing berkembang saiki.