En kritisk sårbarhet för förfalskning av begäranden på serversidan (SSRF), identifierad som CVE-2024-21893, har nyligen utnyttjats i en alarmerande skala i Ivanti Connect Secure och Policy Secure-produkter. Denna sårbarhet har väckt betydande oro inom cybersäkerhetsgemenskapen på grund av massutnyttjandeförsöken och potentialen för obehörig åtkomst, inklusive etableringen av ett omvänt skal.
Detaljer om CVE-2024-21893 Exploatering
Exploateringen riktar sig specifikt till CVE-2024-21893, ett SSRF-fel i SAML-komponenten (Security Assertion Markup Language) i Ivantis produkter. Denna sårbarhet tillåter angripare att komma åt begränsade resurser utan autentisering. Shadowserver Foundation rapporterade en ökning av exploateringsförsök som härrörde från över 170 olika IP-adresser, vilket betonade allvaret i situationen.
Noterbart är att cybersäkerhetsföretaget Rapid7 släppte en proof-of-concept (PoC)-exploat som kombinerar CVE-2024-21893 med CVE-2024-21887, ett tidigare korrigerat kommandoinjektionsfel. Denna kombination underlättar exekvering av oautentiserad fjärrkod, vilket eskalerar riskerna förknippade med sårbarheten.
Exploateringslandskap och risker
Situationen förvärras av användningen av föråldrade komponenter med öppen källkod i Ivanti VPN-enheter, vilket framhållits av säkerhetsforskaren Will Dormann. Den utnyttjade SSRF-sårbarheten (CVE-2024-21893) är associerad med Shibboleth XMLTooling-biblioteket med öppen källkod, som löstes i juni 2023.
Hotaktörer har varit snabba med att dra nytta av situationen, med rapporter från Google-ägda Mandiant som avslöjar utnyttjandet av CVE-2023-46805 och CVE-2024-21887. Dessa exploits har använts för att distribuera olika anpassade webbskal, inklusive BUSHWALK, CHAINLINE, FRAMESTING och LIGHTWIRE.
Global exponering och respons
Palo Alto Networks Unit 42:s resultat tyder på en oroande global exponering, med 28,474 145 fall av Ivanti Connect Secure och Policy Secure som upptäcktes i 26 länder mellan den 30 och 2024 januari 610. Dessutom identifierades 44 komprometterade fall i 23 länder den 2024 januari, XNUMX. .
Som svar på de eskalerande hoten har Ivanti vidtagit åtgärder för att ta itu med sårbarheterna. De släppte en andra begränsningsfil och initierade distributionen av officiella patchar från och med den 1 februari 2024. Organisationer uppmanas att omedelbart tillämpa dessa patchar och implementera stränga säkerhetsåtgärder för att minska riskerna med sådana sårbarheter och PoC-utnyttjande.
Bästa praxis för förebyggande
För att förhindra framtida infektioner och säkra system bör organisationer anta följande bästa praxis:
- Applicera patchar omedelbart: Uppdatera och applicera regelbundet säkerhetskorrigeringar från programvaruleverantörer för att åtgärda kända sårbarheter.
- Kontinuerlig övervakning: Implementera kontinuerlig övervakning av misstänkta aktiviteter och potentiella säkerhetshot inom nätverket.
- Utbildning för säkerhetsmedvetenhet: Genomför regelbunden utbildning i säkerhetsmedvetenhet för att anställda ska känna igen och rapportera potentiella hot.
- Nätverkssegmentering: Använd nätverkssegmentering för att begränsa effekten av potentiella intrång och isolera kritiska system.
- Använd avancerad hotintelligens: Utnyttja avancerad hotintelligens för att hålla dig informerad om nya hot och sårbarheter.
Genom att följa dessa bästa praxis kan organisationer förbättra sin cybersäkerhetsställning och minska risken att falla offer för utnyttjande som riktar in sig på kritiska sårbarheter som CVE-2024-21893 i Ivanta Produkter. Vaksamhet, proaktiva säkerhetsåtgärder och snabba svar är avgörande i dagens föränderliga hotlandskap.