ភាពងាយរងគ្រោះនៃការក្លែងបន្លំផ្នែកខាងម៉ាស៊ីនមេ (SSRF) ដែលត្រូវបានគេកំណត់ថាជា CVE-2024-21893 ថ្មីៗនេះត្រូវបានគេប្រើប្រាស់ក្នុងកម្រិតប្រកាសអាសន្ននៅក្នុងផលិតផល Ivanti Connect Secure និង Policy Secure ។ ភាពងាយរងគ្រោះនេះបានបង្កើនការព្រួយបារម្ភយ៉ាងខ្លាំងនៅក្នុងសហគមន៍សន្តិសុខអ៊ីនធឺណិត ដោយសារតែការប៉ុនប៉ងកេងប្រវ័ញ្ចយ៉ាងច្រើន និងសក្តានុពលសម្រាប់ការចូលប្រើដោយគ្មានការអនុញ្ញាត រួមទាំងការបង្កើតសែលបញ្ច្រាស។
ព័ត៌មានលម្អិតនៃការកេងប្រវ័ញ្ច CVE-2024-21893
ការកេងប្រវ័ញ្ចនេះផ្តោតជាពិសេសទៅលើ CVE-2024-21893 ដែលជាកំហុសរបស់ SSRF នៅក្នុងផ្នែក Security Assertion Markup Language (SAML) នៃផលិតផលរបស់ Ivanti ។ ភាពងាយរងគ្រោះនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារចូលប្រើធនធានដែលបានដាក់កម្រិតដោយមិនចាំបាច់មានការផ្ទៀងផ្ទាត់។ មូលនិធិ Shadowserver បានរាយការណ៍ពីការកើនឡើងនៃការប៉ុនប៉ងកេងប្រវ័ញ្ចដែលមានប្រភពចេញពីអាសយដ្ឋាន IP ខុសៗគ្នាជាង 170 ដោយសង្កត់ធ្ងន់លើភាពធ្ងន់ធ្ងរនៃស្ថានភាព។
គួរកត់សម្គាល់ថាក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិត Rapid7 បានចេញផ្សាយការកេងប្រវ័ញ្ចភស្តុតាងនៃគំនិត (PoC) ដែលរួមបញ្ចូលគ្នានូវ CVE-2024-21893 ជាមួយ CVE-2024-21887 ដែលជាកំហុសចាក់បញ្ចូលពាក្យបញ្ជាដែលបានជួសជុលពីមុន។ ការរួមបញ្ចូលគ្នានេះជួយសម្រួលដល់ការប្រតិបត្តិលេខកូដពីចម្ងាយដែលមិនបានផ្ទៀងផ្ទាត់ដោយបង្កើនហានិភ័យដែលទាក់ទងនឹងភាពងាយរងគ្រោះ។
ការកេងប្រវ័ញ្ចទេសភាព និងហានិភ័យ
ស្ថានភាពកាន់តែធ្ងន់ធ្ងរឡើងដោយសារការប្រើប្រាស់សមាសធាតុប្រភពបើកចំហដែលហួសសម័យនៅក្នុងឧបករណ៍ Ivanti VPN ដូចដែលបានគូសបញ្ជាក់ដោយអ្នកស្រាវជ្រាវសន្តិសុខ Will Dormann។ ភាពងាយរងគ្រោះ SSRF ដែលត្រូវបានកេងប្រវ័ញ្ច (CVE-2024-21893) ត្រូវបានភ្ជាប់ជាមួយបណ្ណាល័យ Shibboleth XMLTooling ប្រភពបើកចំហ ដែលត្រូវបានដោះស្រាយនៅក្នុងខែមិថុនា ឆ្នាំ 2023។
តួអង្គគំរាមកំហែងបានទាញយកប្រយោជន៍ពីស្ថានភាពភ្លាមៗ ដោយរបាយការណ៍ពី Mandiant ដែលគ្រប់គ្រងដោយ Google បង្ហាញពីការកេងប្រវ័ញ្ចនៃ CVE-2023-46805 និង CVE-2024-21887 ។ ការកេងប្រវ័ញ្ចទាំងនេះត្រូវបានប្រើប្រាស់ដើម្បីដាក់ពង្រាយសែលគេហទំព័រផ្ទាល់ខ្លួនជាច្រើន រួមទាំង BUSHWALK, CHAINLINE, FRAMESTING និង LIGHTWIRE។
ការប៉ះពាល់ និងការឆ្លើយតបជាសកល
ការរកឃើញរបស់ Palo Alto Networks Unit 42 បង្ហាញពីការប៉ះពាល់ជាសាកល ដោយមានករណីចំនួន 28,474 នៃ Ivanti Connect Secure និង Policy Secure ត្រូវបានរកឃើញនៅក្នុងប្រទេសចំនួន 145 ចន្លោះថ្ងៃទី 26 និង 30 ខែមករា ឆ្នាំ 2024។ លើសពីនេះ ករណីសម្របសម្រួលចំនួន 610 ត្រូវបានកំណត់អត្តសញ្ញាណនៅទូទាំង 44 ប្រទេសចំនួន 23 ខែមករា។ .
ជាការឆ្លើយតបទៅនឹងការគំរាមកំហែងកាន់តែខ្លាំងឡើង Ivanti បានចាត់វិធានការដើម្បីដោះស្រាយភាពងាយរងគ្រោះ។ ពួកគេបានចេញផ្សាយឯកសារកាត់បន្ថយជាលើកទីពីរ ហើយបានផ្តួចផ្តើមការចែកចាយបំណះផ្លូវការនៅថ្ងៃទី 1 ខែកុម្ភៈ ឆ្នាំ 2024។ អង្គការនានាត្រូវបានជំរុញឱ្យអនុវត្តបំណះទាំងនេះភ្លាមៗ និងអនុវត្តវិធានការសន្តិសុខយ៉ាងតឹងរ៉ឹង ដើម្បីកាត់បន្ថយហានិភ័យដែលបង្កឡើងដោយភាពងាយរងគ្រោះ និងការកេងប្រវ័ញ្ច PoC ។
ការអនុវត្តល្អបំផុតសម្រាប់ការបង្ការ
ដើម្បីទប់ស្កាត់ការឆ្លងនាពេលអនាគត និងប្រព័ន្ធសុវត្ថិភាព អង្គការនានាគួរតែអនុវត្តការអនុវត្តល្អបំផុតខាងក្រោម៖
- អនុវត្តបំណះភ្លាមៗ៖ ធ្វើបច្ចុប្បន្នភាពជាទៀងទាត់ និងអនុវត្តបំណះសុវត្ថិភាពដែលផ្តល់ដោយអ្នកលក់កម្មវិធី ដើម្បីដោះស្រាយភាពងាយរងគ្រោះដែលគេស្គាល់។
- ការត្រួតពិនិត្យជាបន្ត៖ អនុវត្តការត្រួតពិនិត្យជាបន្តបន្ទាប់សម្រាប់សកម្មភាពគួរឱ្យសង្ស័យ និងការគំរាមកំហែងសុវត្ថិភាពដែលអាចកើតមាននៅក្នុងបណ្តាញ។
- ការបណ្តុះបណ្តាលការយល់ដឹងអំពីសុវត្ថិភាព៖ ធ្វើការបណ្តុះបណ្តាលការយល់ដឹងអំពីសុវត្ថិភាពជាប្រចាំសម្រាប់និយោជិតដើម្បីទទួលស្គាល់ និងរាយការណ៍ពីការគំរាមកំហែងដែលអាចកើតមាន។
- ការបែងចែកបណ្តាញ៖ ប្រើប្រាស់ការបែងចែកបណ្តាញ ដើម្បីកំណត់ផលប៉ះពាល់នៃការបំពានដែលអាចកើតមាន និងប្រព័ន្ធសំខាន់ដាច់ដោយឡែក។
- ប្រើប្រាស់ Advanced Threat Intelligence៖ ប្រើប្រាស់ការស៊ើបការណ៍សម្ងាត់ការគំរាមកំហែងកម្រិតខ្ពស់ ដើម្បីទទួលព័ត៌មានអំពីការគំរាមកំហែងដែលកំពុងកើតមាន និងភាពងាយរងគ្រោះ។
ដោយការប្រកាន់ខ្ជាប់នូវការអនុវត្តល្អបំផុតទាំងនេះ អង្គការអាចពង្រឹងឥរិយាបថសុវត្ថិភាពតាមអ៊ីនធឺណិតរបស់ពួកគេ និងកាត់បន្ថយហានិភ័យនៃការធ្លាក់ខ្លួនជាជនរងគ្រោះក្នុងការកេងប្រវ័ញ្ចកំណត់គោលដៅលើភាពងាយរងគ្រោះសំខាន់ៗដូចជា CVE-2024-21893 នៅក្នុង អ៊ីហ្គី ផលិតផល។ ការប្រុងប្រយ័ត្ន វិធានការសន្តិសុខសកម្ម និងការឆ្លើយតបទាន់ពេលវេលា គឺជាកត្តាចាំបាច់នៅក្នុងទិដ្ឋភាពនៃការគំរាមកំហែងដែលកំពុងវិវត្តនាពេលបច្ចុប្បន្ននេះ។