Krytyczna luka w zabezpieczeniach polegająca na fałszowaniu żądań po stronie serwera (SSRF), zidentyfikowana jako CVE-2024-21893, została niedawno wykorzystana na alarmującą skalę w produktach Ivanti Connect Secure i Policy Secure. Luka ta wzbudziła poważne obawy w społeczności zajmującej się cyberbezpieczeństwem ze względu na masowe próby wykorzystania i możliwość nieautoryzowanego dostępu, w tym ustanowienia powłoki zwrotnej.
Szczegóły wykorzystania CVE-2024-21893
Celem exploita jest CVE-2024-21893, luka SSRF w komponencie SAML (Security Assertion Markup Language) produktów Ivanti. Ta luka umożliwia atakującym dostęp do ograniczonych zasobów bez uwierzytelniania. Fundacja Shadowserver zgłosiła wzrost liczby prób wykorzystania pochodzących z ponad 170 różnych adresów IP, podkreślając powagę sytuacji.
Warto zauważyć, że firma Rapid7 zajmująca się bezpieczeństwem cybernetycznym udostępniła exploita typu proof-of-concept (PoC), który łączy CVE-2024-21893 z CVE-2024-21887, czyli wcześniej załataną luką polegającą na wstrzykiwaniu poleceń. Ta kombinacja ułatwia nieuwierzytelnione zdalne wykonanie kodu, zwiększając ryzyko związane z luką.
Krajobraz eksploatacji i ryzyko
Sytuację pogarsza wykorzystanie przestarzałych komponentów typu open source w urządzeniach Ivanti VPN, jak podkreślił badacz bezpieczeństwa Will Dormann. Wykorzystana luka w zabezpieczeniach SSRF (CVE-2024-21893) jest powiązana z biblioteką Shibboleth XMLTooling o otwartym kodzie źródłowym, która została rozwiązana w czerwcu 2023 r.
Podmioty zagrażające szybko wykorzystały tę sytuację, a raporty firmy Mandiant, będącej własnością Google, ujawniają wykorzystanie CVE-2023-46805 i CVE-2024-21887. Exploity te zostały wykorzystane do wdrożenia różnych niestandardowych powłok internetowych, w tym BUSHWALK, CHAINLINE, FRAMESTING i LIGHTWIRE.
Globalna ekspozycja i reakcja
Ustalenia Palo Alto Networks Unit 42 wskazują na niepokojące globalne narażenie: w okresie od 28,474 do 145 stycznia 26 r. wykryto 30 2024 przypadków rozwiązań Ivanti Connect Secure i Policy Secure w 610 krajach. Ponadto na dzień 44 stycznia 23 r. zidentyfikowano 2024 przypadków naruszenia bezpieczeństwa w XNUMX krajach .
W odpowiedzi na narastające zagrożenia firma Ivanti podjęła działania mające na celu usunięcie luk. Wydali drugi plik łagodzący i rozpoczęli dystrybucję oficjalnych poprawek od 1 lutego 2024 r. Wzywa się organizacje do niezwłocznego zastosowania tych poprawek i wdrożenia rygorystycznych środków bezpieczeństwa w celu ograniczenia ryzyka stwarzanego przez takie luki i exploity PoC.
Najlepsze praktyki w zakresie zapobiegania
Aby zapobiec przyszłym infekcjom i zabezpieczyć systemy, organizacje powinny przyjąć następujące najlepsze praktyki:
- Natychmiast zastosuj poprawki: Regularnie aktualizuj i stosuj poprawki zabezpieczeń dostarczane przez dostawców oprogramowania, aby wyeliminować znane luki.
- Ciągłe monitorowanie: Wdróż ciągłe monitorowanie podejrzanych działań i potencjalnych zagrożeń bezpieczeństwa w sieci.
- Szkolenie w zakresie świadomości bezpieczeństwa: Przeprowadzaj regularne szkolenia w zakresie świadomości bezpieczeństwa dla pracowników, aby rozpoznawać i zgłaszać potencjalne zagrożenia.
- Segmentacja sieci: Stosuj segmentację sieci, aby ograniczyć wpływ potencjalnych naruszeń i odizolować systemy krytyczne.
- Wykorzystaj zaawansowaną analizę zagrożeń: Wykorzystaj zaawansowaną analizę zagrożeń, aby otrzymywać informacje o pojawiających się zagrożeniach i lukach w zabezpieczeniach.
Stosując się do tych najlepszych praktyk, organizacje mogą poprawić swój poziom cyberbezpieczeństwa i zmniejszyć ryzyko padnięcia ofiarą exploitów wykorzystujących krytyczne luki, takie jak CVE-2024-21893 w Ivanta produkty. Czujność, proaktywne środki bezpieczeństwa i terminowe reagowanie są niezbędne w dzisiejszym zmieniającym się krajobrazie zagrożeń.