Een kritieke server-side request forgery (SSRF) kwetsbaarheid, geïdentificeerd als CVE-2024-21893, is onlangs op alarmerende schaal misbruikt in Ivanti Connect Secure en Policy Secure-producten. Deze kwetsbaarheid heeft tot grote zorgen geleid binnen de cyberbeveiligingsgemeenschap als gevolg van de massale exploitatiepogingen en de mogelijkheid van ongeoorloofde toegang, waaronder de oprichting van een omgekeerde schil.
Details van exploitatie van CVE-2024-21893
De exploit richt zich specifiek op CVE-2024-21893, een SSRF-fout in de Security Assertion Markup Language (SAML)-component van Ivanti's producten. Door dit beveiligingslek kunnen aanvallers zonder authenticatie toegang krijgen tot beperkte bronnen. De Shadowserver Foundation rapporteerde een toename van het aantal exploitatiepogingen afkomstig van meer dan 170 verschillende IP-adressen, wat de ernst van de situatie benadrukte.
Met name het cyberbeveiligingsbedrijf Rapid7 heeft een proof-of-concept (PoC)-exploit uitgebracht die CVE-2024-21893 combineert met CVE-2024-21887, een eerder gepatchte fout in de commando-injectie. Deze combinatie maakt het mogelijk om niet-geverifieerde code op afstand uit te voeren, waardoor de risico's die aan het beveiligingslek zijn verbonden, toenemen.
Exploitatielandschap en risico's
De situatie wordt verergerd door het gebruik van verouderde open-sourcecomponenten binnen Ivanti VPN-apparaten, zoals benadrukt door beveiligingsonderzoeker Will Dormann. De misbruikte SSRF-kwetsbaarheid (CVE-2024-21893) houdt verband met de open-source Shibboleth XMLTooling-bibliotheek, die in juni 2023 werd opgelost.
Bedreigingsactoren hebben snel misbruik gemaakt van de situatie, met rapporten van Mandiant, eigendom van Google, die de exploitatie van CVE-2023-46805 en CVE-2024-21887 aan het licht brachten. Deze exploits zijn gebruikt om verschillende aangepaste webshells te implementeren, waaronder BUSHWALK, CHAINLINE, FRAMESTING en LIGHTWIRE.
Mondiale blootstelling en respons
De bevindingen van Palo Alto Networks Unit 42 duiden op een zorgwekkende mondiale blootstelling, waarbij tussen 28,474 en 145 januari 26 30 exemplaren van Ivanti Connect Secure en Policy Secure zijn gedetecteerd in 2024 landen. Bovendien werden op 610 januari 44 in 23 landen 2024 gecompromitteerde exemplaren geïdentificeerd. .
Als reactie op de escalerende dreigingen heeft Ivanti maatregelen genomen om de kwetsbaarheden aan te pakken. Ze hebben een tweede risicobeperkingsbestand uitgebracht en zijn vanaf 1 februari 2024 begonnen met de distributie van officiële patches. Organisaties worden dringend verzocht deze patches onmiddellijk toe te passen en strenge beveiligingsmaatregelen te implementeren om de risico’s van dergelijke kwetsbaarheden en PoC-exploits te beperken.
Beste praktijken voor preventie
Om toekomstige infecties te voorkomen en systemen te beveiligen, moeten organisaties de volgende best practices toepassen:
- Patches onmiddellijk aanbrengen: Update regelmatig beveiligingspatches van softwareleveranciers en pas deze toe om bekende kwetsbaarheden aan te pakken.
- Continue bewaking: Implementeer continue monitoring op verdachte activiteiten en potentiële veiligheidsbedreigingen binnen het netwerk.
- Beveiligingsbewustzijnstraining: Voer regelmatig beveiligingsbewustzijnstrainingen uit voor werknemers om potentiële bedreigingen te herkennen en te rapporteren.
- Netwerk Segmentatie: Maak gebruik van netwerksegmentatie om de impact van potentiële inbreuken te beperken en kritieke systemen te isoleren.
- Maak gebruik van geavanceerde bedreigingsinformatie: Maak gebruik van geavanceerde dreigingsinformatie om op de hoogte te blijven van opkomende dreigingen en kwetsbaarheden.
Door zich aan deze best practices te houden, kunnen organisaties hun cyberbeveiligingspositie verbeteren en het risico verkleinen dat ze het slachtoffer worden van exploits die zich richten op kritieke kwetsbaarheden zoals CVE-2024-21893 in Ivanta producten. Waakzaamheid, proactieve beveiligingsmaatregelen en tijdige reacties zijn essentieel in het huidige evoluerende dreigingslandschap.