Vulnerabbiltà kritika ta' falsifikazzjoni ta' rikjesti fuq is-server (SSRF), identifikata bħala CVE-2024-21893, reċentement ġiet sfruttata fuq skala allarmanti fil-prodotti Ivanti Connect Secure u Policy Secure. Din il-vulnerabbiltà qajmet tħassib sinifikanti fi ħdan il-komunità taċ-ċibersigurtà minħabba l-attentati ta’ sfruttament tal-massa u l-potenzjal għal aċċess mhux awtorizzat, inkluż it-twaqqif ta’ reverse shell.
Dettalji ta' CVE-2024-21893 Exploitation
L-isfruttament jimmira speċifikament lejn CVE-2024-21893, difett SSRF fi ħdan il-komponent tas-Security Assertion Markup Language (SAML) tal-prodotti ta' Ivanti. Din il-vulnerabbiltà tippermetti lill-attakkanti jaċċessaw riżorsi ristretti mingħajr awtentikazzjoni. Il-Fondazzjoni Shadowserver irrapportat żieda qawwija fit-tentattivi ta’ sfruttament li joriġinaw minn aktar minn 170 indirizz IP distint, u enfasizzat is-severità tas-sitwazzjoni.
Notevolment, id-ditta tas-sigurtà ċibernetika Rapid7 ħarġet sfruttament ta 'prova ta' kunċett (PoC) li jgħaqqad CVE-2024-21893 ma 'CVE-2024-21887, difett ta' injezzjoni ta 'kmand ippatched qabel. Din il-kombinazzjoni tiffaċilita l-eżekuzzjoni tal-kodiċi remota mhux awtentikata, u teskala r-riskji assoċjati mal-vulnerabbiltà.
Sfruttament Pajsaġġ u Riskji
Is-sitwazzjoni hija aggravata mill-użu ta 'komponenti open-source skaduti fi ħdan l-appliances Ivanti VPN, kif enfasizzat mir-riċerkatur tas-sigurtà Will Dormann. Il-vulnerabbiltà SSRF sfruttata (CVE-2024-21893) hija assoċjata mal-librerija Shibboleth XMLTooling open-source, li ġiet solvuta f'Ġunju 2023.
L-atturi tat-theddida ħadu vantaġġ fuq is-sitwazzjoni, b'rapporti minn Mandiant proprjetà ta' Google li jiżvelaw l-isfruttament ta' CVE-2023-46805 u CVE-2024-21887. Dawn l-isfruttamenti ntużaw biex jintużaw diversi qxur tal-web tad-dwana, inklużi BUSHWALK, CHAINLINE, FRAMESTING, u LIGHTWIRE.
Espożizzjoni u Rispons Globali
Is-sejbiet ta' Palo Alto Networks Unit 42 jindikaw espożizzjoni globali li tikkonċerna, bi 28,474 każ ta' Ivanti Connect Secure u Policy Secure misjuba f'145 pajjiż bejn is-26 u t-30 ta' Jannar 2024. Barra minn hekk, 610 każ kompromess ġew identifikati f'44 pajjiż mit-23 ta' Jannar 2024. .
Bi tweġiba għat-theddid li qed jiżdied, Ivanti ħa miżuri biex jindirizza l-vulnerabbiltajiet. Huma ħarġu t-tieni fajl ta 'mitigazzjoni u bdew id-distribuzzjoni ta' garżi uffiċjali mill-1 ta 'Frar, 2024. L-organizzazzjonijiet huma mħeġġa japplikaw dawn l-irqajja' fil-pront u jimplimentaw miżuri ta 'sigurtà stretti biex itaffu r-riskji maħluqa minn dawn il-vulnerabbiltajiet u sfruttamenti PoC.
L-Aħjar Prattiki għall-Prevenzjoni
Biex jipprevjenu infezzjonijiet futuri u sistemi sikuri, l-organizzazzjonijiet għandhom jadottaw l-aħjar prattiki li ġejjin:
- Applika l-garża fil-pront: Aġġorna u applika regolarment irqajja tas-sigurtà pprovduti mill-bejjiegħa tas-softwer biex tindirizza vulnerabbiltajiet magħrufa.
- Monitoraġġ Kontinwu: Implimenta monitoraġġ kontinwu għal attivitajiet suspettużi u theddid potenzjali għas-sigurtà fin-netwerk.
- Taħriġ dwar l-Għarfien tas-Sigurtà: Wettaq taħriġ regolari dwar l-għarfien tas-sigurtà għall-impjegati biex jirrikonoxxu u jirrappurtaw theddid potenzjali.
- Segmentazzjoni tan-Netwerk: Uża s-segmentazzjoni tan-netwerk biex tillimita l-impatt ta 'ksur potenzjali u tiżola sistemi kritiċi.
- Uża Intelliġenza Avvanzata dwar it-Theddida: Sfrutta l-intelliġenza tat-theddid avvanzata biex tibqa’ infurmat dwar it-theddid u l-vulnerabbiltajiet emerġenti.
Billi jaderixxu ma' dawn l-aħjar prattiki, l-organizzazzjonijiet jistgħu jtejbu l-qagħda taċ-ċibersigurtà tagħhom u jnaqqsu r-riskju li jispiċċaw vittmi ta' sfruttamenti mmirati lejn vulnerabbiltajiet kritiċi bħal CVE-2024-21893 f' Ivanta prodotti. Viġilanza, miżuri ta' sigurtà proattivi, u reazzjonijiet f'waqthom huma essenzjali fix-xenarju tat-theddid tal-lum li qed jevolvi.