სერვერის მხრიდან მოთხოვნის გაყალბების კრიტიკული (SSRF) დაუცველობა, იდენტიფიცირებული, როგორც CVE-2024-21893, ახლახან იქნა გამოყენებული საგანგაშო მასშტაბით Ivanti Connect Secure და Policy Secure პროდუქტებში. ამ დაუცველობამ მნიშვნელოვანი შეშფოთება გამოიწვია კიბერუსაფრთხოების საზოგადოებაში მასობრივი ექსპლუატაციის მცდელობების და არაავტორიზებული წვდომის პოტენციალის გამო, მათ შორის საპირისპირო ჭურვის შექმნის ჩათვლით.
CVE-2024-21893 ექსპლუატაციის დეტალები
ექსპლოიტი კონკრეტულად მიზნად ისახავს CVE-2024-21893, SSRF ხარვეზს უსაფრთხოების დამტკიცების მარკირების ენის (SAML) კომპონენტში Ivanti-ის პროდუქტების. ეს დაუცველობა თავდამსხმელებს საშუალებას აძლევს შევიდნენ შეზღუდულ რესურსებზე ავტორიზაციის გარეშე. Shadowserver Foundation-მა გამოაცხადა ექსპლუატაციის მცდელობების ზრდა 170-ზე მეტი განსხვავებული IP მისამართიდან, რაც ხაზს უსვამს სიტუაციის სიმძიმეს.
აღსანიშნავია, რომ კიბერუსაფრთხოების ფირმა Rapid7-მა გამოუშვა კონცეფციის დადასტურების (PoC) ექსპლოიტი, რომელიც აერთიანებს CVE-2024-21893-ს და CVE-2024-21887-ს, ადრე დაყენებული ბრძანების ინექციის ხარვეზს. ეს კომბინაცია ხელს უწყობს დისტანციური კოდის არაავთენტიფიცირებულ შესრულებას, რაც ზრდის დაუცველობასთან დაკავშირებულ რისკებს.
ექსპლუატაციის ლანდშაფტი და რისკები
სიტუაციას ამძაფრებს მოძველებული ღია კოდის კომპონენტების გამოყენება Ivanti VPN ტექნიკის ფარგლებში, როგორც ეს ხაზი გაუსვა უსაფრთხოების მკვლევარმა უილ დორმანმა. ექსპლუატირებული SSRF დაუცველობა (CVE-2024-21893) დაკავშირებულია ღია კოდის Shibboleth XMLTooling ბიბლიოთეკასთან, რომელიც მოგვარდა 2023 წლის ივნისში.
საფრთხის შემქმნელებმა სწრაფად გამოიყენეს სიტუაცია, Google-ის მფლობელობაში მყოფი Mandiant-ის ანგარიშებით გამოავლინეს CVE-2023-46805 და CVE-2024-21887-ის ექსპლუატაცია. ეს ექსპლოიტები გამოყენებული იქნა სხვადასხვა მორგებული ვებ ჭურვების განსათავსებლად, მათ შორის BUSHWALK, CHAINLINE, FRAMESTING და LIGHTWIRE.
გლობალური ექსპოზიცია და რეაგირება
Palo Alto Networks Unit 42-ის დასკვნები მიუთითებს გლობალურ ზემოქმედებაზე. Ivanti Connect Secure და Policy Secure-ის 28,474 შემთხვევა გამოვლინდა 145 ქვეყანაში 26 წლის 30-დან 2024 იანვრამდე. გარდა ამისა, გამოვლენილია 610 კომპრომეტირებული შემთხვევა 44 იანვარში, 23 იანვარში. .
მზარდი საფრთხეების საპასუხოდ, ივანტიმ მიიღო ზომები მოწყვლადობის აღმოსაფხვრელად. მათ გამოუშვეს მეორე შემარბილებელი ფაილი და წამოიწყეს ოფიციალური პატჩების გავრცელება 1 წლის 2024 თებერვლიდან. ორგანიზაციებს მოუწოდებენ, დაუყონებლივ გამოიყენონ ეს პატჩები და განახორციელონ უსაფრთხოების მკაცრი ზომები ასეთი დაუცველობითა და PoC ექსპლოიტებით გამოწვეული რისკების შესამცირებლად.
საუკეთესო პრაქტიკა პრევენციისთვის
მომავალი ინფექციებისა და უსაფრთხო სისტემების თავიდან ასაცილებლად, ორგანიზაციებმა უნდა მიიღონ შემდეგი საუკეთესო პრაქტიკა:
- დაუყონებლივ გამოიყენეთ პატჩები: რეგულარულად განაახლეთ და გამოიყენეთ უსაფრთხოების პატჩები, რომლებიც მოწოდებულია პროგრამული უზრუნველყოფის მომწოდებლების მიერ ცნობილი დაუცველობის აღმოსაფხვრელად.
- უწყვეტი მონიტორინგი: განახორციელეთ მუდმივი მონიტორინგი ქსელის შიგნით საეჭვო აქტივობებზე და უსაფრთხოების პოტენციურ საფრთხეებზე.
- უსაფრთხოების ინფორმირებულობის ტრენინგი: ჩაატარეთ რეგულარული უსაფრთხოების ცნობიერების ამაღლების ტრენინგი თანამშრომლებისთვის, რათა ამოიცნონ და შეატყობინონ პოტენციურ საფრთხეებს.
- ქსელის სეგმენტაცია: გამოიყენეთ ქსელის სეგმენტაცია პოტენციური დარღვევების ზემოქმედების შესაზღუდად და კრიტიკული სისტემების იზოლირებისთვის.
- გამოიყენეთ გაფართოებული საფრთხის ინტელექტი: გამოიყენეთ საფრთხის მოწინავე ინტელექტი, რათა იყოთ ინფორმირებული ახალი საფრთხეებისა და დაუცველობის შესახებ.
ამ საუკეთესო პრაქტიკის დაცვით, ორგანიზაციებს შეუძლიათ გააძლიერონ თავიანთი კიბერუსაფრთხოების პოზა და შეამცირონ ექსპლოიტების მსხვერპლად გახდომის რისკი, რომელიც მიზნად ისახავს კრიტიკულ მოწყვლადობას, როგორიცაა CVE-2024-21893 ივანტი პროდუქტები. სიფხიზლე, პროაქტიული უსაფრთხოების ზომები და დროული რეაგირება აუცილებელია დღევანდელ განვითარებად საფრთხის ლანდშაფტში.