Критична рањивост захтева на страни сервера (ССРФ), идентификована као ЦВЕ-2024-21893, недавно је искоришћена у алармантним размерама у производима Иванти Цоннецт Сецуре и Полици Сецуре. Ова рањивост је изазвала значајну забринутост унутар заједнице сајбер безбедности због покушаја масовне експлоатације и потенцијала за неовлашћени приступ, укључујући успостављање реверзне љуске.
Детаљи експлоатације ЦВЕ-2024-21893
Експлоатација је посебно усмерена на ЦВЕ-2024-21893, ССРФ грешку у оквиру компоненте Сецурити Ассертион Маркуп Лангуаге (САМЛ) компоненти Ивантијевих производа. Ова рањивост омогућава нападачима да приступе ограниченим ресурсима без аутентификације. Фондација Схадовсервер пријавила је пораст покушаја експлоатације који потичу са преко 170 различитих ИП адреса, наглашавајући озбиљност ситуације.
Значајно је да је фирма за сајбер безбедност Рапид7 објавила експлоатацију за проверу концепта (ПоЦ) која комбинује ЦВЕ-2024-21893 са ЦВЕ-2024-21887, претходно закрпљеном грешком убризгавања команде. Ова комбинација олакшава неауторизовано даљинско извршавање кода, повећавајући ризике повезане са рањивошћу.
Експлоатациони пејзаж и ризици
Ситуација је погоршана коришћењем застарелих компоненти отвореног кода унутар Иванти ВПН уређаја, као што је истакао истраживач безбедности Вил Дорман. Искоришћена ССРФ рањивост (ЦВЕ-2024-21893) повезана је са библиотеком Схибболетх КСМЛТоолинг отвореног кода, која је решена у јуну 2023.
Актери претњи су брзо искористили ситуацију, а извештаји компаније Мандиант у власништву Гоогле-а откривају експлоатацију ЦВЕ-2023-46805 и ЦВЕ-2024-21887. Ове експлоатације су коришћене за примену различитих прилагођених веб шкољки, укључујући БУСХВАЛК, ЦХАИНЛИНЕ, ФРАМЕСТИНГ и ЛИГХТВИРЕ.
Глобална изложеност и одговор
Налази Пало Алто Нетворкс Унит 42 указују на забрињавајућу глобалну изложеност, са 28,474 инстанце Иванти Цоннецт Сецуре и Полици Сецуре откривених у 145 земаља између 26. и 30. јануара 2024. Штавише, 610 компромитованих инстанци идентификовано је у 44 земље, до 23. јануара 2024. .
Као одговор на све веће претње, Иванти је предузео мере за решавање рањивости. Објавили су другу датотеку за ублажавање и покренули дистрибуцију званичних закрпа од 1. фебруара 2024. Организације се позивају да одмах примене ове закрпе и примене строге безбедносне мере како би умањиле ризике које представљају такве рањивости и ПоЦ експлоатације.
Најбоље праксе за превенцију
Да би спречиле будуће инфекције и обезбедиле системе, организације треба да усвоје следеће најбоље праксе:
- Одмах примените закрпе: Редовно ажурирајте и примените безбедносне закрпе које обезбеђују произвођачи софтвера да бисте решили познате рањивости.
- Континуирано праћење: Спровести континуирано праћење сумњивих активности и потенцијалних безбедносних претњи унутар мреже.
- Обука о свести о безбедности: Спроводите редовну обуку за подизање свести о безбедности како би запослени препознали и пријавили потенцијалне претње.
- Сегментација мреже: Користите сегментацију мреже да бисте ограничили утицај потенцијалних пробоја и изоловали критичне системе.
- Користите напредну интелигенцију претњи: Искористите напредну интелигенцију о претњама да бисте остали информисани о новим претњама и рањивостима.
Придржавајући се ових најбољих пракси, организације могу побољшати свој положај сајбер безбедности и смањити ризик да постану жртве експлоатације усмерене на критичне рањивости као што је ЦВЕ-2024-21893 у Иванти производи. Будност, проактивне мере безбедности и правовремени одговори су од суштинског значаја у данашњем окружењу претњи које се развија.