Athari muhimu ya kughushi ombi la upande wa seva (SSRF), iliyotambuliwa kama CVE-2024-21893, imetumiwa hivi majuzi kwa kiwango cha kutisha katika bidhaa za Ivanti Connect Secure and Policy Secure. Athari hii imezua wasiwasi mkubwa ndani ya jumuiya ya usalama wa mtandao kutokana na majaribio ya unyonyaji mkubwa na uwezekano wa ufikiaji usioidhinishwa, ikiwa ni pamoja na uanzishaji wa ganda la nyuma.
Maelezo ya CVE-2024-21893 Exploitation
Matumizi haya yanalenga CVE-2024-21893 mahususi, dosari ya SSRF ndani ya kipengele cha Lugha ya Madai ya Usalama (SAML) ya bidhaa za Ivanti. Athari hii inawaruhusu washambuliaji kufikia rasilimali zilizowekewa vikwazo bila uthibitishaji. The Shadowserver Foundation iliripoti kuongezeka kwa majaribio ya unyonyaji yanayotokana na zaidi ya anwani 170 tofauti za IP, ikisisitiza ukali wa hali hiyo.
Hasa, kampuni ya usalama wa mtandao ya Rapid7 ilitoa unyonyaji wa uthibitisho wa dhana (PoC) ambao unachanganya CVE-2024-21893 na CVE-2024-21887, dosari ya sindano ya amri iliyowekwa hapo awali. Mchanganyiko huu huwezesha utekelezaji wa msimbo wa mbali ambao haujaidhinishwa, na kuongeza hatari zinazohusiana na athari.
Mazingira ya Unyonyaji na Hatari
Hali hiyo inazidishwa na utumiaji wa vipengee vya zamani vya chanzo-wazi ndani ya vifaa vya Ivanti VPN, kama ilivyoangaziwa na mtafiti wa usalama Will Dormann. Athari ya SSRF iliyonyonywa (CVE-2024-21893) inahusishwa na maktaba huria ya Shibboleth XMLTooling, ambayo ilitatuliwa mnamo Juni 2023.
Wahusika wa vitisho wamekuwa wepesi kunufaika na hali hiyo, huku ripoti kutoka kwa Mandiant inayomilikiwa na Google ikifichua unyonyaji wa CVE-2023-46805 na CVE-2024-21887. Ufanisi huu umetumika kusambaza makombora mbalimbali maalum ya wavuti, ikiwa ni pamoja na BUSHWALK, CHAINLINE, FRAMESTING, na LIGHTWIRE.
Mfiduo na Mwitikio wa Ulimwenguni
Matokeo ya Palo Alto Networks Unit 42 yanaonyesha kuhusu kufichuliwa duniani kote, huku matukio 28,474 ya Ivanti Connect Secure and Policy Secure yaligunduliwa katika nchi 145 kati ya Januari 26 na 30, 2024. Zaidi ya hayo, matukio 610 yaliyoathiriwa yalitambuliwa katika nchi 44 kufikia Januari 23 .
Kujibu vitisho vinavyoongezeka, Ivanti amechukua hatua za kushughulikia udhaifu huo. Walitoa faili ya pili ya kupunguza na kuanzisha usambazaji wa viraka rasmi kufikia Februari 1, 2024. Mashirika yanahimizwa kutumia viraka hivi mara moja na kutekeleza hatua kali za usalama ili kupunguza hatari zinazoletwa na udhaifu huo na unyonyaji wa PoC.
Mbinu Bora za Kuzuia
Ili kuzuia maambukizo ya siku zijazo na mifumo salama, mashirika yanapaswa kufuata mazoea bora yafuatayo:
- Tumia Viraka Mara Moja: Sasisha na uweke alama za usalama mara kwa mara zinazotolewa na wachuuzi wa programu ili kushughulikia udhaifu unaojulikana.
- Ufuatiliaji wa Kuendelea: Tekeleza ufuatiliaji unaoendelea wa shughuli zinazotiliwa shaka na matishio ya usalama yanayoweza kutokea ndani ya mtandao.
- Mafunzo ya Uhamasishaji wa Usalama: Fanya mafunzo ya mara kwa mara ya uhamasishaji wa usalama kwa wafanyikazi kutambua na kuripoti vitisho vinavyowezekana.
- Sehemu ya Mtandao: Tumia sehemu za mtandao ili kupunguza athari za ukiukaji unaowezekana na kutenga mifumo muhimu.
- Tumia Akili ya Tishio ya Juu: Tumia akili tishio la hali ya juu ili uendelee kufahamishwa kuhusu vitisho na udhaifu unaojitokeza.
Kwa kuzingatia mazoea haya bora, mashirika yanaweza kuimarisha mkao wao wa usalama wa mtandao na kupunguza hatari ya kuangukiwa na unyonyaji unaolenga udhaifu mkubwa kama vile CVE-2024-21893 katika Ivanta bidhaa. Umakini, hatua makini za usalama, na majibu kwa wakati unaofaa ni muhimu katika mazingira hatarishi ya leo.