Критическая уязвимость подделки запросов на стороне сервера (SSRF), обозначенная как CVE-2024-21893, недавно была использована в тревожных масштабах в продуктах Ivanti Connect Secure и Policy Secure. Эта уязвимость вызвала серьезную обеспокоенность в сообществе кибербезопасности из-за попыток массовой эксплуатации и возможности несанкционированного доступа, включая создание обратной оболочки.
Подробности эксплуатации CVE-2024-21893
Эксплойт специально нацелен на CVE-2024-21893, уязвимость SSRF в компоненте языка разметки утверждений безопасности (SAML) продуктов Ivanti. Эта уязвимость позволяет злоумышленникам получить доступ к ограниченным ресурсам без аутентификации. Фонд Shadowserver Foundation сообщил о всплеске попыток взлома с более чем 170 различных IP-адресов, подчеркнув серьезность ситуации.
Примечательно, что компания Rapid7, занимающаяся кибербезопасностью, выпустила эксплойт для проверки концепции (PoC), который сочетает в себе CVE-2024-21893 и CVE-2024-21887, ранее исправленную уязвимость внедрения команд. Эта комбинация облегчает удаленное выполнение кода без аутентификации, увеличивая риски, связанные с уязвимостью.
Ландшафт эксплуатации и риски
Ситуация усугубляется использованием устаревших компонентов с открытым исходным кодом в устройствах Ivanti VPN, как подчеркнул исследователь безопасности Уилл Дорманн. Эксплуатируемая уязвимость SSRF (CVE-2024-21893) связана с библиотекой Shibboleth XMLTooling с открытым исходным кодом, которая была устранена в июне 2023 года.
Злоумышленники быстро воспользовались ситуацией: отчеты Mandiant, принадлежащего Google, раскрывают использование CVE-2023-46805 и CVE-2024-21887. Эти эксплойты использовались для развертывания различных пользовательских веб-оболочек, включая BUSHWALK, CHAINLINE, FRAMESTING и LIGHTWIRE.
Глобальное воздействие и реагирование
Результаты Palo Alto Networks Unit 42 указывают на тревожную глобальную угрозу: в период с 28,474 по 145 января 26 года в 30 странах было обнаружено 2024 610 экземпляра Ivanti Connect Secure и Policy Secure. Кроме того, по состоянию на 44 января 23 года в 2024 странах было выявлено XNUMX скомпрометированных экземпляров. .
В ответ на эскалацию угроз Ivanti приняла меры по устранению уязвимостей. Они выпустили второй файл по смягчению последствий и начали распространение официальных исправлений по состоянию на 1 февраля 2024 года. Организациям настоятельно рекомендуется незамедлительно применить эти исправления и принять строгие меры безопасности для снижения рисков, связанных с такими уязвимостями и PoC-эксплойтами.
Лучшие практики профилактики
Чтобы предотвратить будущие заражения и обеспечить безопасность систем, организациям следует принять следующие передовые методы:
- Применяйте патчи незамедлительно: Регулярно обновляйте и применяйте исправления безопасности, предоставляемые поставщиками программного обеспечения, для устранения известных уязвимостей.
- Непрерывный мониторинг: Внедряйте постоянный мониторинг подозрительных действий и потенциальных угроз безопасности в сети.
- Обучение по вопросам безопасности: Проводите регулярное обучение сотрудников вопросам безопасности, чтобы они могли распознавать потенциальные угрозы и сообщать о них.
- Сегментация сети: Используйте сегментацию сети, чтобы ограничить влияние потенциальных взломов и изолировать критически важные системы.
- Используйте расширенную аналитику угроз: Используйте расширенную информацию об угрозах, чтобы оставаться в курсе возникающих угроз и уязвимостей.
Придерживаясь этих передовых практик, организации могут повысить уровень своей кибербезопасности и снизить риск стать жертвой эксплойтов, нацеленных на критические уязвимости, такие как CVE-2024-21893 в Иванти продукты. Бдительность, превентивные меры безопасности и своевременное реагирование имеют важное значение в сегодняшнем меняющемся ландшафте угроз.