O vulnerabilitate critică de falsificare a cererilor pe server (SSRF), identificată ca CVE-2024-21893, a fost exploatată recent la o scară alarmantă în produsele Ivanti Connect Secure și Policy Secure. Această vulnerabilitate a ridicat îngrijorări semnificative în comunitatea de securitate cibernetică din cauza încercărilor de exploatare în masă și a potențialului de acces neautorizat, inclusiv înființarea unui shell invers.
Detalii de exploatare CVE-2024-21893
Exploita-ul vizează în mod specific CVE-2024-21893, un defect SSRF în cadrul componentei Security Assertion Markup Language (SAML) a produselor Ivanti. Această vulnerabilitate permite atacatorilor să acceseze resurse restricționate fără autentificare. Fundația Shadowserver a raportat o creștere a încercărilor de exploatare provenite de la peste 170 de adrese IP distincte, subliniind gravitatea situației.
În special, firma de securitate cibernetică Rapid7 a lansat un exploit proof-of-concept (PoC) care combină CVE-2024-21893 cu CVE-2024-21887, o defecțiune a injectării de comandă corectată anterior. Această combinație facilitează execuția de cod la distanță neautentificată, crescând riscurile asociate cu vulnerabilitatea.
Peisajul de exploatare și riscuri
Situația este exacerbată de utilizarea componentelor open-source învechite în cadrul dispozitivelor Ivanti VPN, după cum a subliniat cercetătorul de securitate Will Dormann. Vulnerabilitatea SSRF exploatată (CVE-2024-21893) este asociată cu biblioteca Shibboleth XMLTooling cu sursă deschisă, care a fost rezolvată în iunie 2023.
Actorii amenințărilor s-au grăbit să valorifice situația, rapoartele de la Mandiant, deținută de Google, dezvăluind exploatarea CVE-2023-46805 și CVE-2024-21887. Aceste exploit-uri au fost folosite pentru a implementa diverse shell-uri web personalizate, inclusiv BUSHWALK, CHAINLINE, FRAMESTING și LIGHTWIRE.
Expunere globală și răspuns
Descoperirile Unității 42 de la Palo Alto Networks indică o expunere globală îngrijorătoare, cu 28,474 de instanțe Ivanti Connect Secure și Policy Secure detectate în 145 de țări între 26 și 30 ianuarie 2024. În plus, 610 instanțe compromise au fost identificate în 44 de țări la 23 ianuarie 2024. .
Ca răspuns la amenințările în creștere, Ivanti a luat măsuri pentru a aborda vulnerabilitățile. Ei au lansat un al doilea fișier de atenuare și au inițiat distribuirea de corecții oficiale începând cu 1 februarie 2024. Organizațiile sunt îndemnate să aplice prompt aceste patch-uri și să implementeze măsuri de securitate stricte pentru a atenua riscurile prezentate de astfel de vulnerabilități și exploatări PoC.
Cele mai bune practici pentru prevenire
Pentru a preveni viitoare infecții și sisteme securizate, organizațiile ar trebui să adopte următoarele bune practici:
- Aplicați rapid plasturi: Actualizați și aplicați în mod regulat corecțiile de securitate furnizate de furnizorii de software pentru a aborda vulnerabilitățile cunoscute.
- Monitorizare continuă: Implementați monitorizarea continuă pentru activitățile suspecte și potențialele amenințări de securitate în cadrul rețelei.
- Instruire de conștientizare a securității: Desfășurați cursuri regulate de conștientizare a securității pentru ca angajații să recunoască și să raporteze potențialele amenințări.
- Segmentarea rețelei: Utilizați segmentarea rețelei pentru a limita impactul potențialelor breșe și pentru a izola sistemele critice.
- Utilizați inteligența avansată a amenințărilor: Folosiți informații avansate privind amenințările pentru a rămâne informat despre amenințările și vulnerabilitățile emergente.
Prin aderarea la aceste bune practici, organizațiile își pot îmbunătăți postura de securitate cibernetică și pot reduce riscul de a deveni victime ale exploatărilor care vizează vulnerabilități critice precum CVE-2024-21893 în Ivanta produse. Vigilența, măsurile de securitate proactive și răspunsurile în timp util sunt esențiale în peisajul actual de amenințări în evoluție.