Kritinis serverio užklausų klastojimo (SSRF) pažeidžiamumas, identifikuotas kaip CVE-2024-21893, neseniai buvo nerimą keliančiu mastu išnaudotas Ivanti Connect Secure ir Policy Secure produktuose. Šis pažeidžiamumas sukėlė didelį susirūpinimą kibernetinio saugumo bendruomenėje dėl masinio išnaudojimo bandymų ir galimos neteisėtos prieigos, įskaitant atvirkštinio apvalkalo sukūrimą.
Išsami informacija apie CVE-2024-21893 eksploatavimą
Išnaudojimas konkrečiai skirtas CVE-2024-21893 – SSRF trūkumas, esantis „Ivanti“ produktų saugos tvirtinimo žymėjimo kalbos (SAML) komponente. Šis pažeidžiamumas leidžia užpuolikams pasiekti ribotus išteklius be autentifikavimo. „Shadowserver Foundation“ pranešė apie išnaudojimo bandymų iš daugiau nei 170 skirtingų IP adresų padidėjimą, pabrėždamas situacijos rimtumą.
Pažymėtina, kad kibernetinio saugumo įmonė „Rapid7“ išleido koncepcijos įrodymo (PoC) išnaudojimą, kuris sujungia CVE-2024-21893 su CVE-2024-21887, anksčiau pataisytu komandos įterpimo trūkumu. Šis derinys palengvina neautentifikuoto nuotolinio kodo vykdymą, padidindama riziką, susijusią su pažeidžiamumu.
Eksploatacijos kraštovaizdis ir rizika
Padėtį apsunkina pasenusių atvirojo kodo komponentų naudojimas Ivanti VPN įrenginiuose, kaip pabrėžė saugumo tyrinėtojas Willas Dormannas. Išnaudotas SSRF pažeidžiamumas (CVE-2024-21893) yra susijęs su atvirojo kodo Shibboleth XMLTooling biblioteka, kuri buvo pašalinta 2023 m. birželio mėn.
Grėsmės veikėjai greitai pasinaudojo situacija, o „Google“ priklausančios „Mandiant“ ataskaitose atskleidžia CVE-2023-46805 ir CVE-2024-21887 išnaudojimą. Šie išnaudojimai buvo naudojami diegti įvairias pasirinktines žiniatinklio apvalkalus, įskaitant BUSHWALK, CHAINLINE, FRAMESTING ir LIGHTWIRE.
Pasaulinis poveikis ir atsakas
„Palo Alto Networks Unit 42“ išvados rodo pasaulinį apšvitą: 28,474 145 Ivanti Connect Secure ir Policy Secure atvejai buvo aptikti 26 šalyse nuo 30 m. sausio 2024 d. iki 610 d. Be to, 44 m. sausio 23 d. buvo nustatyta 2024 pažeistų atvejų XNUMX šalyse .
Reaguodama į didėjančias grėsmes, Ivanti ėmėsi priemonių pažeidžiamumui pašalinti. Jie išleido antrą švelninimo failą ir pradėjo platinti oficialias pataisas nuo 1 m. vasario 2024 d. Organizacijos raginamos nedelsiant pritaikyti šiuos pataisymus ir įgyvendinti griežtas saugumo priemones, kad sumažintų tokių pažeidžiamumų ir PoC išnaudojimų keliamą riziką.
Geriausia prevencijos praktika
Siekdamos užkirsti kelią būsimoms infekcijoms ir apsaugoti sistemas, organizacijos turėtų laikytis šios geriausios praktikos:
- Nedelsdami pritaikykite pleistrus: Reguliariai atnaujinkite ir taikykite saugos pataisas, kurias teikia programinės įrangos pardavėjai, kad pašalintumėte žinomus pažeidžiamumus.
- Nuolatinis stebėjimas: Įdiekite nuolatinį įtartinos veiklos ir galimų saugumo grėsmių stebėjimą tinkle.
- Saugumo suvokimo mokymai: Reguliariai rengkite darbuotojų informuotumo apie saugumą mokymus, kad jie atpažintų ir praneštų apie galimas grėsmes.
- Tinklo segmentavimas: Naudokite tinklo segmentavimą, kad apribotumėte galimų pažeidimų poveikį ir izoliuotumėte svarbiausias sistemas.
- Pasinaudokite pažangia grėsmių žvalgyba: Pasinaudokite pažangia grėsmių žvalgyba, kad būtumėte informuoti apie kylančias grėsmes ir pažeidžiamumą.
Laikydamosi šios geriausios praktikos, organizacijos gali pagerinti savo kibernetinio saugumo laikyseną ir sumažinti riziką tapti išnaudojimų aukomis, nukreiptomis į kritinius pažeidžiamumus, tokius kaip CVE-2024-21893. Ivanta Produktai. Budrumas, aktyvios saugumo priemonės ir savalaikis atsakas yra būtini šiandienos besikeičiančioje grėsmių aplinkoje.