Një cenueshmëri kritike e falsifikimit të kërkesës nga ana e serverit (SSRF), e identifikuar si CVE-2024-21893, është shfrytëzuar kohët e fundit në një shkallë alarmante në produktet Ivanti Connect Secure dhe Policy Secure. Kjo dobësi ka ngritur shqetësime të rëndësishme brenda komunitetit të sigurisë kibernetike për shkak të përpjekjeve për shfrytëzim masiv dhe potencialit për akses të paautorizuar, duke përfshirë krijimin e një guaskë të kundërt.
Detajet e CVE-2024-21893 Exploitation
Shfrytëzimi synon në mënyrë specifike CVE-2024-21893, një defekt SSRF brenda komponentit të Gjuhës së Markupimit të Pohimit të Sigurisë (SAML) të produkteve të Ivanti. Kjo dobësi i lejon sulmuesit të aksesojnë burimet e kufizuara pa vërtetim. Fondacioni Shadowserver raportoi një rritje të përpjekjeve të shfrytëzimit me origjinë nga mbi 170 adresa IP të ndryshme, duke theksuar ashpërsinë e situatës.
Veçanërisht, firma e sigurisë kibernetike Rapid7 lëshoi një shfrytëzim të provës së konceptit (PoC) që kombinon CVE-2024-21893 me CVE-2024-21887, një defekt i injektimit të komandës i rregulluar më parë. Ky kombinim lehtëson ekzekutimin e paautentikuar të kodit në distancë, duke përshkallëzuar rreziqet që lidhen me cenueshmërinë.
Peizazhi dhe rreziqet e shfrytëzimit
Situata përkeqësohet nga përdorimi i përbërësve të vjetëruar me burim të hapur brenda pajisjeve Ivanti VPN, siç theksohet nga studiuesi i sigurisë Will Dormann. Dobësia e shfrytëzuar SSRF (CVE-2024-21893) është e lidhur me bibliotekën Shibboleth XMLTooling me burim të hapur, e cila u zgjidh në qershor 2023.
Aktorët e kërcënimit kanë qenë të shpejtë për të përfituar nga situata, me raportet nga Mandiant në pronësi të Google që zbulojnë shfrytëzimin e CVE-2023-46805 dhe CVE-2024-21887. Këto shfrytëzime janë përdorur për të vendosur predha të ndryshme të personalizuara në internet, duke përfshirë BUSHWALK, CHAINLINE, FRAMESTING dhe LIGHTWIRE.
Ekspozimi dhe reagimi global
Gjetjet e Palo Alto Networks Unit 42 tregojnë një ekspozim global shqetësues, me 28,474 raste të Ivanti Connect Secure dhe Policy Secure të zbuluara në 145 vende midis 26 dhe 30 janar 2024. Për më tepër, 610 raste të komprometuara u identifikuan si në 44 janar në 23 vende. .
Në përgjigje të kërcënimeve në rritje, Ivanti ka marrë masa për të adresuar dobësitë. Ata lëshuan një dosje të dytë zbutëse dhe filluan shpërndarjen e arnimeve zyrtare që nga 1 shkurti 2024. Organizatave u kërkohet të aplikojnë menjëherë këto arnime dhe të zbatojnë masa të rrepta sigurie për të zbutur rreziqet e paraqitura nga dobësi të tilla dhe shfrytëzime të PoC.
Praktikat më të mira për parandalim
Për të parandaluar infeksionet e ardhshme dhe sistemet e sigurta, organizatat duhet të adoptojnë praktikat më të mira të mëposhtme:
- Aplikoni arna menjëherë: Përditësoni dhe aplikoni rregullisht arnimet e sigurisë të ofruara nga shitësit e softuerit për të adresuar dobësitë e njohura.
- Monitorimi i vazhdueshëm: Zbatoni monitorim të vazhdueshëm për aktivitete të dyshimta dhe kërcënime të mundshme të sigurisë brenda rrjetit.
- Trajnim i ndërgjegjësimit për sigurinë: Kryeni trajnime të rregullta të ndërgjegjësimit për sigurinë për punonjësit që të njohin dhe raportojnë kërcënimet e mundshme.
- Segmentimi i rrjetit: Përdorni segmentimin e rrjetit për të kufizuar ndikimin e shkeljeve të mundshme dhe për të izoluar sistemet kritike.
- Përdorni inteligjencën e avancuar të kërcënimit: Përdorni inteligjencën e avancuar të kërcënimeve për të qëndruar të informuar për kërcënimet dhe dobësitë e reja.
Duke iu përmbajtur këtyre praktikave më të mira, organizatat mund të përmirësojnë qëndrimin e tyre të sigurisë kibernetike dhe të zvogëlojnë rrezikun për t'u bërë viktimë e shfrytëzimeve që synojnë dobësitë kritike si CVE-2024-21893 në Ivanta produkteve. Vigjilenca, masat proaktive të sigurisë dhe reagimet në kohë janë thelbësore në peizazhin e sotëm të kërcënimit në zhvillim.