Kritična ranljivost ponarejanja zahtev na strani strežnika (SSRF), identificirana kot CVE-2024-21893, je bila nedavno izkoriščena v zaskrbljujočem obsegu v izdelkih Ivanti Connect Secure in Policy Secure. Ta ranljivost je povzročila precejšnje pomisleke v skupnosti kibernetske varnosti zaradi množičnih poskusov izkoriščanja in možnosti nepooblaščenega dostopa, vključno z vzpostavitvijo obratne lupine.
Podrobnosti o izkoriščanju CVE-2024-21893
Izkoriščanje posebej cilja na CVE-2024-21893, napako SSRF v komponenti SAML (Security Assertion Markup Language) izdelkov Ivanti. Ta ranljivost omogoča napadalcem dostop do omejenih virov brez preverjanja pristnosti. Fundacija Shadowserver je poročala o porastu poskusov izkoriščanja, ki izvirajo iz več kot 170 različnih naslovov IP, s čimer je poudarila resnost situacije.
Predvsem podjetje za kibernetsko varnost Rapid7 je izdalo izkoriščanje za dokaz koncepta (PoC), ki združuje CVE-2024-21893 s CVE-2024-21887, predhodno zakrpano napako vbrizgavanja ukazov. Ta kombinacija olajša nepreverjeno oddaljeno izvajanje kode, s čimer se povečajo tveganja, povezana z ranljivostjo.
Pokrajina in tveganja izkoriščanja
Stanje se poslabša zaradi uporabe zastarelih odprtokodnih komponent v napravah Ivanti VPN, kot je poudaril varnostni raziskovalec Will Dormann. Izkoriščena ranljivost SSRF (CVE-2024-21893) je povezana z odprtokodno knjižnico Shibboleth XMLTooling, ki je bila razrešena junija 2023.
Akterji groženj so hitro izkoristili situacijo, saj so poročila podjetja Mandiant, ki je v lasti Googla, razkrila izkoriščanje CVE-2023-46805 in CVE-2024-21887. Ta izkoriščanja so bila uporabljena za uvajanje različnih spletnih lupin po meri, vključno z BUSHWALK, CHAINLINE, FRAMESTING in LIGHTWIRE.
Globalna izpostavljenost in odziv
Ugotovitve enote 42 mreže Palo Alto kažejo na skrb vzbujajočo globalno izpostavljenost, pri čemer je bilo med 28,474. in 145. januarjem 26 odkritih 30 primerkov Ivanti Connect Secure in Policy Secure v 2024 državah. Poleg tega je bilo od 610. januarja 44 identificiranih 23 ogroženih primerkov v 2024 državah. .
Kot odgovor na naraščajoče grožnje je Ivanti sprejel ukrepe za odpravo ranljivosti. Izdali so drugo datoteko za ublažitev in začeli distribucijo uradnih popravkov od 1. februarja 2024. Organizacije so pozvane, naj nemudoma uporabijo te popravke in izvajajo stroge varnostne ukrepe za ublažitev tveganj, ki jih predstavljajo takšne ranljivosti in izkoriščanja PoC.
Najboljše prakse za preprečevanje
Za preprečevanje prihodnjih okužb in zaščito sistemov bi morale organizacije sprejeti naslednje najboljše prakse:
- Takojšnja uporaba popravkov: Redno posodabljajte in uporabljajte varnostne popravke, ki jih zagotavljajo prodajalci programske opreme, da odpravite znane ranljivosti.
- Stalno spremljanje: Izvajajte neprekinjeno spremljanje sumljivih dejavnosti in potencialnih varnostnih groženj v omrežju.
- Usposabljanje za ozaveščanje o varnosti: Izvajajte redna usposabljanja za ozaveščanje o varnosti za zaposlene, da prepoznajo in poročajo o potencialnih grožnjah.
- Segmentacija omrežja: Uporabite segmentacijo omrežja, da omejite vpliv morebitnih vdorov in izolirate kritične sisteme.
- Uporabite napredno obveščanje o grožnjah: Izkoristite napredno obveščanje o grožnjah, da boste obveščeni o nastajajočih grožnjah in ranljivostih.
Z upoštevanjem teh najboljših praks lahko organizacije izboljšajo svojo držo kibernetske varnosti in zmanjšajo tveganje, da bi postale žrtve izkoriščanj, ki ciljajo na kritične ranljivosti, kot je CVE-2024-21893 v Ivanta izdelkov. Pazljivost, proaktivni varnostni ukrepi in pravočasni odzivi so bistveni v današnjem spreminjajočem se okolju groženj.