Eng kritesch Server-Säit Ufro-Fälschung (SSRF) Schwachstelle, identifizéiert als CVE-2024-21893, gouf viru kuerzem op enger alarméierender Skala an Ivanti Connect Secure a Policy Secure Produkter exploitéiert. Dës Schwachstelle huet bedeitend Bedenken bannent der Cybersécherheetsgemeinschaft opgeworf wéinst de Massausbeutungsversuche an dem Potenzial fir onerlaabten Zougang, dorënner d'Schafung vun enger ëmgedréint Shell.
Detailer vun CVE-2024-21893 Ausbeutung
D'Exploit zielt speziell CVE-2024-21893, en SSRF-Feeler an der Security Assertion Markup Language (SAML) Komponent vun den Ivanti Produkter. Dës Schwachstelle erlaabt Ugräifer Zougang zu limitéierten Ressourcen ouni Authentifikatioun. D'Shadowserver Foundation huet e Stroum an Ausbeutungsversich gemellt, déi aus iwwer 170 ënnerschiddlech IP Adressen stamen, wat d'Gravitéit vun der Situatioun betount.
Notamment huet d'Cybersecurity Firma Rapid7 e proof-of-concept (PoC) Exploit verëffentlecht deen CVE-2024-21893 mat CVE-2024-21887 kombinéiert, e virdru patchéierte Kommandoinjektiounsfehler. Dës Kombinatioun erliichtert onauthentifizéiert Remote Code Ausféierung, eskaléiert d'Risiken verbonne mat der Schwachstelle.
Ausbeutung Landschaft a Risiken
D'Situatioun gëtt verschäerft duerch d'Benotzung vun alen Open-Source Komponenten bannent Ivanti VPN Apparater, wéi beliicht vum Sécherheetsfuerscher Will Dormann. Déi exploitéiert SSRF Schwachstelle (CVE-2024-21893) ass verbonne mat der Open-Source Shibboleth XMLTooling Bibliothéik, déi am Juni 2023 geléist gouf.
Bedrohungsakteuren ware séier fir d'Situatioun ze kapitaliséieren, mat Berichter vum Google-Besëtzer Mandiant déi d'Ausbeutung vum CVE-2023-46805 an CVE-2024-21887 verroden. Dës Ausnotzen goufen benotzt fir verschidde personaliséiert Web Shells z'installéieren, dorënner BUSHWALK, CHAINLINE, FRAMESTING, a LIGHTWIRE.
Global Belaaschtung an Äntwert
D'Resultater vun der Palo Alto Networks Unit 42 weisen op eng betreffend global Belaaschtung, mat 28,474 Fäll vun Ivanti Connect Secure a Policy Secure entdeckt an 145 Länner tëscht dem 26. an 30. Januar 2024. Ausserdeem goufen 610 kompromittéiert Fäll iwwer 44 Länner identifizéiert wéi de 23. Januar, 2024. .
Als Äntwert op déi eskaléierend Bedrohungen huet den Ivanti Moossname geholl fir d'Schwächheeten unzegoen. Si hunn eng zweet Mitigatiounsdatei verëffentlecht an hunn d'Verdeelung vun offiziellen Patches ab dem 1. Februar 2024 initiéiert. Organisatiounen ginn opgefuerdert dës Patches prompt anzesetzen an strikt Sécherheetsmoossnamen ëmzesetzen fir d'Risiken ze reduzéieren, déi duerch esou Schwachstelle a PoC-Exploiten ausgesat sinn.
Beschte Praxis fir Präventioun
Fir zukünfteg Infektiounen a sécher Systemer ze vermeiden, sollten Organisatiounen déi folgend Best Practices adoptéieren:
- Fëllt Patches direkt un: Regelméisseg Update an applizéiert Sécherheetspatches, déi vu Software Ubidder geliwwert ginn, fir bekannte Schwachstelle ze adresséieren.
- Kontinuéierlech Iwwerwaachung: Ëmsetzen kontinuéierlech Iwwerwaachung fir verdächteg Aktivitéiten a potenziell Sécherheetsbedrohungen am Netz.
- Sécherheetsbewosstsinn Training: Féiert regelméisseg Sécherheetsbewosstsinn Training fir Mataarbechter fir potenziell Bedrohungen z'erkennen an ze mellen.
- Netzwierk Segmentéierung: Benotzt Netzwierk Segmentatioun fir den Impakt vu potenzielle Verstéiss ze limitéieren an kritesch Systemer ze isoléieren.
- Benotzt Advanced Threat Intelligence: Benotzt fortgeschratt Bedrohungsintelligenz fir informéiert ze bleiwen iwwer opkomende Bedrohungen a Schwachstelle.
Andeems Dir dës bescht Praktiken hält, kënnen Organisatiounen hir Cybersécherheetspositioun verbesseren an de Risiko reduzéieren fir Affer ze falen fir Ausnotzen déi kritesch Schwachstelle wéi CVE-2024-21893 an Ivanta Produiten. Vigilance, proaktiv Sécherheetsmoossnamen a rechtzäiteg Äntwerte si wesentlech an der entwéckelender Bedrohungslandschaft vun haut.