Uma vulnerabilidade crítica de falsificação de solicitação no servidor (SSRF), identificada como CVE-2024-21893, foi recentemente explorada em uma escala alarmante nos produtos Ivanti Connect Secure e Policy Secure. Esta vulnerabilidade levantou preocupações significativas na comunidade de segurança cibernética devido às tentativas de exploração em massa e ao potencial de acesso não autorizado, incluindo o estabelecimento de um shell reverso.
Detalhes da exploração CVE-2024-21893
A exploração visa especificamente o CVE-2024-21893, uma falha SSRF no componente Security Assertion Markup Language (SAML) dos produtos da Ivanti. Esta vulnerabilidade permite que invasores acessem recursos restritos sem autenticação. A Shadowserver Foundation relatou um aumento nas tentativas de exploração provenientes de mais de 170 endereços IP distintos, enfatizando a gravidade da situação.
Notavelmente, a empresa de segurança cibernética Rapid7 lançou uma exploração de prova de conceito (PoC) que combina CVE-2024-21893 com CVE-2024-21887, uma falha de injeção de comando corrigida anteriormente. Essa combinação facilita a execução remota de código não autenticado, aumentando os riscos associados à vulnerabilidade.
Cenário de exploração e riscos
A situação é agravada pela utilização de componentes de código aberto desatualizados nos dispositivos Ivanti VPN, conforme destacado pelo pesquisador de segurança Will Dormann. A vulnerabilidade SSRF explorada (CVE-2024-21893) está associada à biblioteca Shibboleth XMLTooling de código aberto, que foi resolvida em junho de 2023.
Os atores da ameaça foram rápidos em capitalizar a situação, com relatórios da Mandiant, de propriedade do Google, revelando a exploração de CVE-2023-46805 e CVE-2024-21887. Essas explorações foram usadas para implantar vários web shells personalizados, incluindo BUSHWALK, CHAINLINE, FRAMESTING e LIGHTWIRE.
Exposição e Resposta Global
As descobertas da Unidade 42 da Palo Alto Networks indicam uma exposição global preocupante, com 28,474 instâncias do Ivanti Connect Secure e Policy Secure detectadas em 145 países entre 26 e 30 de janeiro de 2024. Além disso, 610 instâncias comprometidas foram identificadas em 44 países em 23 de janeiro de 2024. .
Em resposta às ameaças crescentes, a Ivanti tomou medidas para resolver as vulnerabilidades. Eles lançaram um segundo arquivo de mitigação e iniciaram a distribuição de patches oficiais a partir de 1º de fevereiro de 2024. As organizações são instadas a aplicar prontamente esses patches e a implementar medidas de segurança rigorosas para mitigar os riscos representados por tais vulnerabilidades e explorações de PoC.
Melhores práticas de prevenção
Para prevenir futuras infecções e proteger os sistemas, as organizações devem adotar as seguintes práticas recomendadas:
- Aplique patches imediatamente: Atualize e aplique regularmente patches de segurança fornecidos por fornecedores de software para solucionar vulnerabilidades conhecidas.
- Monitoramento Contínuo: Implemente monitoramento contínuo de atividades suspeitas e possíveis ameaças à segurança na rede.
- Treinamento de conscientização de segurança: Realize treinamentos regulares de conscientização de segurança para que os funcionários reconheçam e relatem ameaças potenciais.
- Segmentação de rede: Empregue segmentação de rede para limitar o impacto de possíveis violações e isolar sistemas críticos.
- Utilize inteligência avançada contra ameaças: Aproveite a inteligência avançada sobre ameaças para se manter informado sobre ameaças e vulnerabilidades emergentes.
Ao aderir a essas práticas recomendadas, as organizações podem melhorar sua postura de segurança cibernética e reduzir o risco de serem vítimas de explorações direcionadas a vulnerabilidades críticas como CVE-2024-21893 em Ivanta produtos. Vigilância, medidas de segurança proativas e respostas oportunas são essenciais no atual cenário de ameaças em constante evolução.