ຊ່ອງໂຫວ່ການປອມແປງການຮ້ອງຂໍດ້ານເຊີບເວີທີ່ສໍາຄັນ (SSRF), ລະບຸວ່າເປັນ CVE-2024-21893, ບໍ່ດົນມານີ້ໄດ້ຖືກຂູດຮີດໃນລະດັບທີ່ຫນ້າຕົກໃຈໃນຜະລິດຕະພັນຄວາມປອດໄພຂອງ Ivanti Connect ແລະນະໂຍບາຍ. ຊ່ອງໂຫວ່ນີ້ໄດ້ເຮັດໃຫ້ເກີດຄວາມວິຕົກກັງວົນຢ່າງໃຫຍ່ຫຼວງພາຍໃນຊຸມຊົນຄວາມປອດໄພທາງອິນເຕີເນັດເນື່ອງຈາກຄວາມພະຍາຍາມຂຸດຄົ້ນມະຫາຊົນແລະທ່າແຮງສໍາລັບການເຂົ້າເຖິງທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ, ລວມທັງການສ້າງຕັ້ງຂອງ shell reverse.
ລາຍລະອຽດຂອງການຂຸດຄົ້ນ CVE-2024-21893
ການຂູດຮີດໂດຍສະເພາະເປົ້າຫມາຍ CVE-2024-21893, ເປັນຂໍ້ບົກພ່ອງຂອງ SSRF ພາຍໃນອົງປະກອບຂອງ Security Assertion Markup Language (SAML) ຂອງຜະລິດຕະພັນຂອງ Ivanti. ຊ່ອງໂຫວ່ນີ້ເຮັດໃຫ້ຜູ້ໂຈມຕີເຂົ້າເຖິງຊັບພະຍາກອນທີ່ຖືກຈຳກັດໂດຍບໍ່ມີການກວດສອບຄວາມຖືກຕ້ອງ. ມູນນິທິ Shadowserver ລາຍງານການເພີ່ມຂື້ນຂອງຄວາມພະຍາຍາມຂູດຮີດທີ່ມາຈາກຫຼາຍກວ່າ 170 ທີ່ຢູ່ IP ທີ່ແຕກຕ່າງກັນ, ເນັ້ນຫນັກເຖິງຄວາມຮຸນແຮງຂອງສະຖານະການ.
ໂດຍສະເພາະ, ບໍລິສັດຄວາມປອດໄພທາງອິນເຕີເນັດ Rapid7 ປ່ອຍອອກມາເມື່ອການຂຸດຄົ້ນແນວຄວາມຄິດ (PoC) ຫຼັກຖານສະແດງທີ່ປະສົມປະສານ CVE-2024-21893 ກັບ CVE-2024-21887, ຂໍ້ບົກພ່ອງຂອງການສີດຄໍາສັ່ງທີ່ຖືກປັບປຸງກ່ອນຫນ້ານີ້. ການປະສົມປະສານນີ້ສ້າງຄວາມສະດວກໃນການປະຕິບັດລະຫັດທາງໄກທີ່ບໍ່ໄດ້ຮັບການຢືນຢັນ, ເພີ່ມຄວາມສ່ຽງທີ່ກ່ຽວຂ້ອງກັບຊ່ອງໂຫວ່.
ການຂຸດຄົ້ນພູມສັນຖານແລະຄວາມສ່ຽງ
ສະຖານະການແມ່ນຮ້າຍແຮງຂຶ້ນໂດຍການໃຊ້ອົງປະກອບແຫຼ່ງເປີດທີ່ລ້າສະໄຫມພາຍໃນເຄື່ອງໃຊ້ VPN ຂອງ Ivanti, ດັ່ງທີ່ນັກຄົ້ນຄວ້າຄວາມປອດໄພ Will Dormann ເນັ້ນໃສ່. ຊ່ອງໂຫວ່ SSRF ທີ່ຖືກຂູດຮີດ (CVE-2024-21893) ແມ່ນກ່ຽວຂ້ອງກັບຫ້ອງສະໝຸດ Shibboleth XMLTooling ແຫຼ່ງເປີດ, ເຊິ່ງໄດ້ຖືກແກ້ໄຂໃນເດືອນມິຖຸນາ 2023.
ນັກສະແດງໄພຂົ່ມຂູ່ໄດ້ຮັບທຶນຢ່າງໄວວາໃນສະຖານະການ, ໂດຍມີບົດລາຍງານຈາກ Mandiant ທີ່ເປັນເຈົ້າຂອງ Google ເປີດເຜີຍການຂຸດຄົ້ນ CVE-2023-46805 ແລະ CVE-2024-21887. ການຂູດຮີດເຫຼົ່ານີ້ໄດ້ຖືກນໍາໃຊ້ເພື່ອນໍາໃຊ້ shells ເວັບຕ່າງໆ, ລວມທັງ BUSHWALK, CHAINLINE, FRAMESTING, ແລະ LIGHTWIRE.
ການເປີດເຜີຍແລະການຕອບໂຕ້ທົ່ວໂລກ
ການຄົ້ນພົບຂອງ Palo Alto Networks Unit 42 ຊີ້ໃຫ້ເຫັນເຖິງການເປີດເຜີຍທົ່ວໂລກ, ໂດຍມີ 28,474 ກໍລະນີຂອງ Ivanti Connect Secure ແລະ Policy Secure ທີ່ກວດພົບໃນ 145 ປະເທດໃນລະຫວ່າງວັນທີ 26 ຫາ 30 ມັງກອນ 2024. ນອກຈາກນັ້ນ, 610 ກໍລະນີທີ່ຖືກລະເມີດໄດ້ຖືກກວດພົບໃນ 44 ມັງກອນ 23 ປະເທດໃນ 2024 ປະເທດ. .
ເພື່ອຕອບສະ ໜອງ ຕໍ່ໄພຂົ່ມຂູ່ທີ່ເພີ່ມຂື້ນ, Ivanti ໄດ້ໃຊ້ມາດຕະການເພື່ອແກ້ໄຂຄວາມອ່ອນແອ. ເຂົາເຈົ້າໄດ້ປ່ອຍເອກະສານການຫຼຸດຜ່ອນທີສອງ ແລະເລີ່ມການແຈກຢາຍແພັກເກັດຢ່າງເປັນທາງການໃນວັນທີ 1 ກຸມພາ 2024. ອົງການຈັດຕັ້ງຕ່າງໆໄດ້ຖືກຮຽກຮ້ອງໃຫ້ໃຊ້ແພັດເຫຼົ່ານີ້ໂດຍໄວ ແລະ ປະຕິບັດມາດຕະການຄວາມປອດໄພທີ່ເຂັ້ມງວດເພື່ອຫຼຸດຜ່ອນຄວາມສ່ຽງທີ່ເກີດຈາກຊ່ອງໂຫວ່ດັ່ງກ່າວ ແລະ ການຂູດຮີດ PoC.
ການປະຕິບັດທີ່ດີທີ່ສຸດສໍາລັບການປ້ອງກັນ
ເພື່ອປ້ອງກັນການຕິດເຊື້ອໃນອະນາຄົດແລະລະບົບທີ່ປອດໄພ, ອົງການຈັດຕັ້ງຄວນຮັບຮອງເອົາການປະຕິບັດທີ່ດີທີ່ສຸດຕໍ່ໄປນີ້:
- ສະຫມັກຂໍເອົາ Patches ທັນທີ: ປັບປຸງ ແລະນຳໃຊ້ແພັດຄວາມປອດໄພເປັນປະຈຳທີ່ສະໜອງໃຫ້ໂດຍຜູ້ຂາຍຊອບແວເພື່ອແກ້ໄຂຈຸດອ່ອນທີ່ຮູ້ຈັກ.
- ການຕິດຕາມຢ່າງຕໍ່ເນື່ອງ: ປະຕິບັດການຕິດຕາມຢ່າງຕໍ່ເນື່ອງສໍາລັບກິດຈະກໍາທີ່ຫນ້າສົງໄສແລະໄພຂົ່ມຂູ່ດ້ານຄວາມປອດໄພທີ່ອາດຈະເກີດຂຶ້ນພາຍໃນເຄືອຂ່າຍ.
- ການຝຶກອົບຮົມຄວາມຮັບຮູ້ດ້ານຄວາມປອດໄພ: ດຳເນີນການຝຶກອົບຮົມຄວາມຮັບຮູ້ດ້ານຄວາມປອດໄພເປັນປົກກະຕິໃຫ້ແກ່ພະນັກງານເພື່ອຮັບຮູ້ແລະລາຍງານໄພຂົ່ມຂູ່ທີ່ອາດເກີດຂຶ້ນ.
- ການແບ່ງສ່ວນເຄືອຂ່າຍ: ນຳໃຊ້ການແບ່ງສ່ວນເຄືອຂ່າຍເພື່ອຈຳກັດຜົນກະທົບຂອງການລະເມີດທີ່ອາດເກີດຂຶ້ນ ແລະແຍກລະບົບທີ່ສຳຄັນ.
- ໃຊ້ Intelligence ໄພຂົ່ມຂູ່ແບບພິເສດ: ນຳໃຊ້ຄວາມລັບດ້ານໄພຂົ່ມຂູ່ແບບກ້າວກະໂດດຂັ້ນເພື່ອຮັບຊາບກ່ຽວກັບໄພຂົ່ມຂູ່ທີ່ກຳລັງເກີດຂຶ້ນ ແລະ ຄວາມສ່ຽງ.
ໂດຍການປະຕິບັດຕາມການປະຕິບັດທີ່ດີທີ່ສຸດເຫຼົ່ານີ້, ອົງການຈັດຕັ້ງສາມາດປັບປຸງທ່າທາງຄວາມປອດໄພທາງອິນເຕີເນັດຂອງພວກເຂົາແລະຫຼຸດຜ່ອນຄວາມສ່ຽງຂອງການຕົກເປັນເຫຍື່ອຂອງການຂູດຮີດເປົ້າຫມາຍຈຸດອ່ອນເຊັ່ນ CVE-2024-21893 ໃນ ອີວານຕີ ຜະລິດຕະພັນ. ຄວາມລະມັດລະວັງ, ມາດຕະການຄວາມປອດໄພຢ່າງຕັ້ງໜ້າ, ແລະການຕອບໂຕ້ຢ່າງທັນການແມ່ນມີຄວາມຈຳເປັນໃນສະພາບໄພຂົ່ມຂູ່ທີ່ພວມພັດທະນາໃນປັດຈຸບັນ.