Kerentanan permintaan sisi server kritis (SSRF), anu diidentifikasi minangka CVE-2024-21893, nembé dieksploitasi dina skala anu ngareureuwas dina produk Ivanti Connect Secure and Policy Secure. Kerentanan ieu nyababkeun masalah anu penting dina komunitas cybersecurity kusabab usaha eksploitasi massal sareng poténsi aksés anu henteu sah, kalebet pendirian cangkang sabalikna.
Rincian CVE-2024-21893 Garapan
Eksploitasi sacara khusus nargétkeun CVE-2024-21893, cacad SSRF dina komponén Security Assertion Markup Language (SAML) tina produk Ivanti. Kerentanan ieu ngamungkinkeun panyerang ngaksés sumber anu diwatesan tanpa auténtikasi. Yayasan Shadowserver ngalaporkeun lonjakan dina usaha eksploitasi anu asalna tina langkung ti 170 alamat IP anu béda, nekenkeun parahna kaayaan.
Utamana, firma cybersecurity Rapid7 ngaluarkeun garapan proof-of-concept (PoC) anu ngagabungkeun CVE-2024-21893 sareng CVE-2024-21887, cacad suntik paréntah anu ditambal sateuacana. Kombinasi ieu ngagampangkeun palaksanaan kode jauh anu henteu dikonfirmasi, ningkatkeun résiko anu aya hubunganana sareng kerentanan.
Lansekap Eksploitasi sareng Resiko
Kaayaan ieu diperparah ku pamanfaatan komponén open-source anu luntur dina alat Ivanti VPN, sakumaha anu disorot ku panaliti kaamanan Will Dormann. Kerentanan SSRF anu dieksploitasi (CVE-2024-21893) pakait sareng perpustakaan Shibboleth XMLTooling open-source, anu direngsekeun dina Juni 2023.
Aktor ancaman gancang-gancang ngamangpaatkeun kaayaan éta, kalayan laporan ti Mandiant milik Google ngungkabkeun eksploitasi CVE-2023-46805 sareng CVE-2024-21887. Eksploitasi ieu parantos dianggo pikeun nyebarkeun rupa-rupa cangkang wéb khusus, kalebet BUSHWALK, CHAINLINE, FRAMESTING, sareng LIGHTWIRE.
Paparan Global sarta Tanggapan
Papanggihan Palo Alto Networks Unit 42 nunjukkeun ngeunaan paparan global, kalayan 28,474 instansi Ivanti Connect Secure and Policy Secure dideteksi di 145 nagara antara 26 sareng 30 Januari 2024. Saterusna, 610 instansi anu dikompromi diidentifikasi di 44 nagara dina 23 Januari 2024. .
Salaku tanggepan kana ancaman anu ningkat, Ivanti parantos nyandak tindakan pikeun ngatasi kerentanan. Aranjeunna ngaluarkeun file mitigasi kadua sareng ngagagas panyebaran patch resmi ti 1 Pebruari 2024. Organisasi didesek pikeun langsung nerapkeun patch ieu sareng ngalaksanakeun ukuran kaamanan anu ketat pikeun ngirangan résiko anu ditimbulkeun ku kerentanan sapertos kitu sareng eksploitasi PoC.
Praktek pangalusna pikeun Pencegahan
Pikeun nyegah inféksi kahareup sareng sistem anu aman, organisasi kedah ngadopsi prakték anu pangsaéna:
- Larapkeun Patch Langsung: Rutin ngapdet sareng nerapkeun patch kaamanan anu disayogikeun ku ngical paralatan pikeun ngatasi kerentanan anu dipikanyaho.
- Ngawaskeun kontinyu: Laksanakeun ngawaskeun kontinyu pikeun kagiatan anu curiga sareng poténsi ancaman kaamanan dina jaringan.
- Pelatihan Kasadaran Kaamanan: Ngalaksanakeun pelatihan kasadaran kaamanan rutin pikeun karyawan pikeun mikawanoh sareng ngalaporkeun ancaman poténsial.
- Segmentasi jaringan: Anggo segmentasi jaringan pikeun ngabatesan dampak poténsial ngalanggar sareng ngasingkeun sistem kritis.
- Anggo Intelijen Ancaman Lanjutan: Anggo intelijen ancaman canggih pikeun tetep terang ngeunaan ancaman sareng kerentanan anu muncul.
Ku anut kana prakték pangsaéna ieu, organisasi tiasa ningkatkeun sikep kaamanan maya sareng ngirangan résiko janten korban eksploitasi nargétkeun kerentanan kritis sapertos CVE-2024-21893 di Ivanta produk. Waspada, ukuran kaamanan proaktif, sareng réspon anu pas waktuna penting dina bentang ancaman anu ngembang ayeuna.