Et kritisk SSRF-sårbarhet (server-side request forgery), identifisert som CVE-2024-21893, har nylig blitt utnyttet i et alarmerende omfang i Ivanti Connect Secure og Policy Secure-produkter. Denne sårbarheten har skapt betydelige bekymringer i nettsikkerhetssamfunnet på grunn av masseutnyttelsesforsøkene og potensialet for uautorisert tilgang, inkludert etablering av et omvendt skall.
Detaljer om CVE-2024-21893-utnyttelse
Utnyttelsen retter seg spesifikt mot CVE-2024-21893, en SSRF-feil i SAML-komponenten (Security Assertion Markup Language) i Ivantis produkter. Dette sikkerhetsproblemet lar angripere få tilgang til begrensede ressurser uten autentisering. Shadowserver Foundation rapporterte en økning i utnyttelsesforsøk som stammer fra over 170 forskjellige IP-adresser, noe som understreker alvorlighetsgraden av situasjonen.
Spesielt ga nettsikkerhetsfirmaet Rapid7 ut en proof-of-concept (PoC) utnyttelse som kombinerer CVE-2024-21893 med CVE-2024-21887, en tidligere rettet kommandoinjeksjonsfeil. Denne kombinasjonen letter uautentisert ekstern kjøring av kode, og eskalerer risikoen forbundet med sårbarheten.
Utnyttelseslandskap og risikoer
Situasjonen forverres av bruken av utdaterte åpen kildekode-komponenter i Ivanti VPN-enheter, som fremhevet av sikkerhetsforsker Will Dormann. Den utnyttede SSRF-sårbarheten (CVE-2024-21893) er assosiert med Shibboleth XMLTooling-biblioteket med åpen kildekode, som ble løst i juni 2023.
Trusselaktører har vært raske til å utnytte situasjonen, med rapporter fra Google-eide Mandiant som avslører utnyttelsen av CVE-2023-46805 og CVE-2024-21887. Disse utnyttelsene har blitt brukt til å distribuere forskjellige tilpassede web-skall, inkludert BUSHWALK, CHAINLINE, FRAMESTING og LIGHTWIRE.
Global eksponering og respons
Palo Alto Networks Unit 42s funn indikerer en bekymringsfull global eksponering, med 28,474 145 tilfeller av Ivanti Connect Secure og Policy Secure oppdaget i 26 land mellom 30. og 2024. januar 610. Videre ble 44 kompromitterte tilfeller identifisert i 23 land per 2024. januar XNUMX. .
Som svar på de eskalerende truslene har Ivanti iverksatt tiltak for å adressere sårbarhetene. De ga ut en andre reduksjonsfil og startet distribusjonen av offisielle oppdateringer fra og med 1. februar 2024. Organisasjoner oppfordres til å umiddelbart bruke disse oppdateringene og implementere strenge sikkerhetstiltak for å redusere risikoen som slike sårbarheter og PoC-utnyttelser utgjør.
Beste praksis for forebygging
For å forhindre fremtidige infeksjoner og sikre systemer, bør organisasjoner ta i bruk følgende beste praksis:
- Påfør oppdateringer umiddelbart: Oppdater og bruk sikkerhetsoppdateringer fra programvareleverandører regelmessig for å løse kjente sårbarheter.
- Kontinuerlig overvåking: Implementer kontinuerlig overvåking for mistenkelige aktiviteter og potensielle sikkerhetstrusler i nettverket.
- Opplæring i sikkerhetsbevissthet: Gjennomfør regelmessig sikkerhetsopplæring for ansatte for å gjenkjenne og rapportere potensielle trusler.
- Nettverkssegmentering: Bruk nettverkssegmentering for å begrense virkningen av potensielle brudd og isolere kritiske systemer.
- Bruk avansert trusselintelligens: Utnytt avansert trusselintelligens for å holde deg informert om nye trusler og sårbarheter.
Ved å følge disse beste praksisene kan organisasjoner forbedre sin cybersikkerhetsstilling og redusere risikoen for å bli ofre for utnyttelser rettet mot kritiske sårbarheter som CVE-2024-21893 i Ivanta Produkter. Årvåkenhet, proaktive sikkerhetstiltak og rettidig respons er avgjørende i dagens utviklende trussellandskap.