CVE-2024-21893 ретінде анықталған маңызды серверлік сұрауды қолдан жасау (SSRF) осалдығы жақында Ivanti Connect Secure және Policy Secure өнімдерінде алаңдатарлық ауқымда пайдаланылды. Бұл осалдық киберқауіпсіздік қоғамдастығында жаппай пайдалану әрекеттеріне және рұқсатсыз қол жеткізу мүмкіндігіне, соның ішінде кері қабықшаның орнатылуына байланысты елеулі алаңдаушылық тудырды.
CVE-2024-21893 пайдалану мәліметтері
Эксплуатация арнайы CVE-2024-21893-ке бағытталған, бұл Ivanti өнімдерінің Қауіпсіздікті растау белгілеу тілі (SAML) құрамдасындағы SSRF кемшілігі. Бұл осалдық шабуылдаушыларға аутентификациясыз шектеулі ресурстарға қол жеткізуге мүмкіндік береді. Shadowserver Foundation жағдайдың ауырлығын баса көрсете отырып, 170-тен астам әртүрлі IP мекенжайларынан пайда болған пайдалану әрекеттерінің артқанын хабарлады.
Атап айтқанда, Rapid7 киберқауіпсіздік фирмасы CVE-2024-21893 және CVE-2024-21887 біріктіретін концепцияның дәлелі (PoC) эксплойтін шығарды, бұл бұрын патчталған команда енгізу ақауы. Бұл комбинация осалдықпен байланысты тәуекелдерді арттыра отырып, аутентификацияланбаған қашықтан кодты орындауды жеңілдетеді.
Пайдалану ландшафты және тәуекелдері
Қауіпсіздік зерттеушісі Уилл Дорманн атап өткендей, Ivanti VPN құрылғыларында ескірген ашық бастапқы компоненттерді пайдалану жағдайды қиындатады. Пайдаланылған SSRF осалдығы (CVE-2024-21893) 2023 жылдың маусымында шешілген ашық бастапқы Shibboleth XMLTooling кітапханасымен байланысты.
Қауіпті субъектілер жағдайды тез пайдалана бастады, Google меншігіндегі Mandiant есептерінде CVE-2023-46805 және CVE-2024-21887 пайдалану фактілері анықталды. Бұл эксплойттар BUSHWALK, CHAINLINE, FRAMESTING және LIGHTWIRE сияқты әртүрлі пайдаланушы веб қабықшаларын орналастыру үшін пайдаланылды.
Ғаламдық әсер ету және әрекет ету
Palo Alto Networks Unit 42 деректері 28,474 жылдың 145 мен 26 қаңтары аралығында 30 елде Ivanti Connect Secure және Policy Secure 2024 610 данасы анықталған жаһандық әсерге қатысты екенін көрсетеді. Сонымен қатар, 44 жылдың 23 қаңтары мен 2024 қаңтары аралығында XNUMX елде XNUMX бұзылған даналар анықталды. .
Өсіп келе жатқан қауіптерге жауап ретінде Иванти осалдықтарды жою үшін шаралар қабылдады. Олар екінші азайту файлын шығарды және 1 жылдың 2024 ақпанынан бастап ресми патчтарды таратуға кірісті. Ұйымдарға осы патчтарды тез арада қолдануға және осындай осалдықтар мен PoC эксплойттерінен туындайтын тәуекелдерді азайту үшін қатаң қауіпсіздік шараларын енгізу ұсынылады.
Алдын алудың ең жақсы тәжірибелері
Болашақ инфекциялардың және қауіпсіз жүйелердің алдын алу үшін ұйымдар келесі ең жақсы тәжірибелерді қабылдауы керек:
- Патчтарды дереу қолданыңыз: Белгілі осалдықтарды жою үшін бағдарламалық құрал жеткізушілері қамтамасыз ететін қауіпсіздік патчтарын үнемі жаңартып, қолданыңыз.
- Үздіксіз бақылау: Желідегі күдікті әрекеттер мен ықтимал қауіпсіздік қатерлеріне үздіксіз бақылауды жүзеге асырыңыз.
- Қауіпсіздік туралы білім беру тренингі: Ықтимал қауіптерді тану және хабарлау үшін қызметкерлерге қауіпсіздік туралы хабардар болу бойынша тұрақты тренингтер өткізіңіз.
- Желіні сегменттеу: Ықтимал бұзушылықтардың әсерін шектеу және маңызды жүйелерді оқшаулау үшін желі сегментациясын қолданыңыз.
- Жетілдірілген қауіп барлауын пайдаланыңыз: Пайда болған қауіптер мен осалдықтар туралы хабардар болу үшін кеңейтілген қауіп барлауын пайдаланыңыз.
Осы ең жақсы тәжірибелерді ұстана отырып, ұйымдар өздерінің киберқауіпсіздік ұстанымдарын жақсарта алады және CVE-2024-21893 сияқты маңызды осалдықтарға бағытталған эксплуатациялардың құрбаны болу қаупін азайта алады. Иванти өнімдер. Қырағылық, белсенді қауіпсіздік шаралары және дер кезінде әрекет ету бүгінгі дамушы қауіп-қатер ландшафтында маңызды.