CVE-2024-21893으로 식별된 심각한 서버 측 요청 위조(SSRF) 취약점이 최근 Ivanti Connect Secure 및 Policy Secure 제품에서 놀라운 규모로 악용되었습니다. 이 취약점은 대규모 악용 시도와 리버스 셸 구축을 포함한 무단 액세스 가능성으로 인해 사이버 보안 커뮤니티 내에서 심각한 우려를 불러일으켰습니다.
CVE-2024-21893 악용 세부정보
이 익스플로잇은 특히 Ivanti 제품의 SAML(Security Assertion Markup Language) 구성 요소에 포함된 SSRF 결함인 CVE-2024-21893을 대상으로 합니다. 이 취약점으로 인해 공격자는 인증 없이 제한된 리소스에 액세스할 수 있습니다. 섀도우서버 재단(Shadowserver Foundation)은 170개가 넘는 개별 IP 주소에서 발생한 악용 시도가 급증했다고 보고하며 상황의 심각성을 강조했습니다.
특히, 사이버 보안 회사인 Rapid7은 CVE-2024-21893과 이전에 패치된 명령 주입 결함인 CVE-2024-21887을 결합한 PoC(개념 증명) 익스플로잇을 공개했습니다. 이 조합은 인증되지 않은 원격 코드 실행을 용이하게 하여 취약점과 관련된 위험을 확대합니다.
악용 환경 및 위험
보안 연구원인 Will Dormann이 강조한 것처럼 Ivanti VPN 어플라이언스 내에서 오래된 오픈 소스 구성 요소를 활용하면 상황이 더욱 악화됩니다. 악용된 SSRF 취약점(CVE-2024-21893)은 오픈 소스 Shibboleth XMLTooling 라이브러리와 연결되어 있으며 2023년 XNUMX월에 해결되었습니다.
Google이 소유한 Mandiant의 보고에 따르면 위협 행위자들은 CVE-2023-46805 및 CVE-2024-21887의 악용을 폭로하면서 이 상황을 빠르게 활용했습니다. 이러한 공격은 BUSHWALK, CHAINLINE, FRAMESTING 및 LIGHTWIRE를 포함한 다양한 사용자 정의 웹 셸을 배포하는 데 사용되었습니다.
글로벌 노출 및 대응
Palo Alto Networks Unit 42의 조사 결과에 따르면 28,474년 145월 26일부터 30일 사이에 2024개국에서 610개의 Ivanti Connect Secure 및 Policy Secure 인스턴스가 감지되었습니다. 또한 44년 23월 2024일 현재 XNUMX개국에서 XNUMX개의 손상된 인스턴스가 식별되었습니다. .
점점 커지는 위협에 대응하여 Ivanti는 취약점을 해결하기 위한 조치를 취했습니다. 그들은 두 번째 완화 파일을 발표하고 1년 2024월 XNUMX일부터 공식 패치 배포를 시작했습니다. 조직은 이러한 취약점과 PoC 악용으로 인한 위험을 완화하기 위해 이러한 패치를 즉시 적용하고 엄격한 보안 조치를 구현해야 합니다.
예방을 위한 모범 사례
향후 감염을 방지하고 시스템을 보호하려면 조직은 다음 모범 사례를 채택해야 합니다.
- 즉시 패치를 적용하십시오. 알려진 취약점을 해결하기 위해 소프트웨어 공급업체에서 제공하는 보안 패치를 정기적으로 업데이트하고 적용합니다.
- 지속적인 모니터링: 네트워크 내에서 의심스러운 활동과 잠재적인 보안 위협에 대한 지속적인 모니터링을 구현합니다.
- 보안 인식 교육: 잠재적인 위협을 인식하고 보고할 수 있도록 직원을 대상으로 정기적인 보안 인식 교육을 실시합니다.
- 네트워크 세분화: 잠재적인 침해의 영향을 제한하고 중요한 시스템을 격리하기 위해 네트워크 분할을 사용합니다.
- 지능형 위협 인텔리전스 활용: 지능형 위협 인텔리전스를 활용하여 새로운 위협과 취약점에 대한 최신 정보를 받아보세요.
이러한 모범 사례를 준수함으로써 조직은 사이버 보안 태세를 강화하고 CVE-2024-21893과 같은 심각한 취약점을 노리는 악용의 피해자가 될 위험을 줄일 수 있습니다. 이반 티 제품. 오늘날 진화하는 위협 환경에서는 경계, 사전 예방적인 보안 조치 및 시기적절한 대응이 필수적입니다.