ช่องโหว่การปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์ที่สำคัญ (SSRF) ซึ่งระบุเป็น CVE-2024-21893 เพิ่งถูกโจมตีในระดับที่น่าตกใจในผลิตภัณฑ์ Ivanti Connect Secure และ Policy Secure ช่องโหว่นี้ทำให้เกิดความกังวลอย่างมากในชุมชนความปลอดภัยทางไซเบอร์ เนื่องจากมีความพยายามในการแสวงหาผลประโยชน์จำนวนมากและมีโอกาสในการเข้าถึงโดยไม่ได้รับอนุญาต รวมถึงการจัดตั้ง Reverse Shell
รายละเอียดการใช้ประโยชน์ CVE-2024-21893
การใช้ประโยชน์ดังกล่าวมุ่งเป้าไปที่ CVE-2024-21893 โดยเฉพาะ ซึ่งเป็นข้อบกพร่อง SSRF ภายในส่วนประกอบ Security Assertion Markup Language (SAML) ของผลิตภัณฑ์ของ Ivanti ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึงทรัพยากรที่ถูกจำกัดโดยไม่ต้องมีการตรวจสอบสิทธิ์ มูลนิธิ Shadowserver รายงานว่ามีความพยายามในการแสวงหาผลประโยชน์ที่เพิ่มขึ้นอย่างรวดเร็วซึ่งมาจากที่อยู่ IP ที่แตกต่างกันมากกว่า 170 แห่ง โดยเน้นถึงความรุนแรงของสถานการณ์
บริษัทรักษาความปลอดภัยทางไซเบอร์ Rapid7 ได้เปิดตัวช่องโหว่ Proof-of-Concept (PoC) ที่รวม CVE-2024-21893 เข้ากับ CVE-2024-21887 ซึ่งเป็นข้อบกพร่องของ Command Inject ที่ได้รับแพตช์ก่อนหน้านี้ การรวมกันนี้อำนวยความสะดวกในการเรียกใช้โค้ดจากระยะไกลโดยไม่ผ่านการรับรองความถูกต้อง ซึ่งเพิ่มความเสี่ยงที่เกี่ยวข้องกับช่องโหว่
ภาพรวมการแสวงหาประโยชน์และความเสี่ยง
สถานการณ์เลวร้ายลงจากการใช้ส่วนประกอบโอเพ่นซอร์สที่ล้าสมัยภายในอุปกรณ์ Ivanti VPN ตามที่นักวิจัยด้านความปลอดภัย Will Dormann เน้นย้ำ ช่องโหว่ SSRF ที่ถูกโจมตี (CVE-2024-21893) มีความเกี่ยวข้องกับไลบรารีโอเพ่นซอร์ส Shibboleth XMLTooling ซึ่งได้รับการแก้ไขในเดือนมิถุนายน 2023
ผู้คุกคามใช้ประโยชน์จากสถานการณ์นี้อย่างรวดเร็ว โดยมีรายงานจาก Mandiant ที่เป็นเจ้าของ Google ซึ่งเปิดเผยการใช้ประโยชน์จาก CVE-2023-46805 และ CVE-2024-21887 ช่องโหว่เหล่านี้ถูกนำมาใช้เพื่อปรับใช้ Web Shell แบบกำหนดเองต่างๆ รวมถึง BUSHWALK, CHAINLINE, FRAMESTING และ LIGHTWIRE
การเปิดเผยและการตอบสนองทั่วโลก
การค้นพบของ Palo Alto Networks Unit 42 บ่งชี้ถึงความเสี่ยงทั่วโลก โดยตรวจพบอินสแตนซ์ Ivanti Connect Secure และ Policy Secure จำนวน 28,474 รายการใน 145 ประเทศระหว่างวันที่ 26 ถึง 30 มกราคม 2024 นอกจากนี้ ยังมีการระบุอินสแตนซ์ที่ถูกบุกรุก 610 รายการใน 44 ประเทศ ณ วันที่ 23 มกราคม 2024 .
เพื่อตอบสนองต่อภัยคุกคามที่ทวีความรุนแรงขึ้น Ivanti ได้ใช้มาตรการเพื่อแก้ไขช่องโหว่ พวกเขาเผยแพร่ไฟล์การบรรเทาผลกระทบไฟล์ที่สอง และเริ่มเผยแพร่แพตช์อย่างเป็นทางการ ณ วันที่ 1 กุมภาพันธ์ 2024 องค์กรต่างๆ ได้รับการกระตุ้นให้ใช้แพตช์เหล่านี้ทันที และใช้มาตรการรักษาความปลอดภัยที่เข้มงวดเพื่อลดความเสี่ยงที่เกิดจากช่องโหว่และการโจมตีจาก PoC ดังกล่าว
แนวทางปฏิบัติที่ดีที่สุดสำหรับการป้องกัน
เพื่อป้องกันการติดเชื้อในอนาคตและระบบรักษาความปลอดภัย องค์กรควรนำแนวทางปฏิบัติที่ดีที่สุดดังต่อไปนี้:
- ใช้แพทช์ทันที: อัปเดตและใช้แพตช์รักษาความปลอดภัยที่ได้รับจากผู้จำหน่ายซอฟต์แวร์เป็นประจำเพื่อแก้ไขช่องโหว่ที่ทราบ
- การตรวจสอบอย่างต่อเนื่อง: ใช้การตรวจสอบอย่างต่อเนื่องสำหรับกิจกรรมที่น่าสงสัยและภัยคุกคามความปลอดภัยที่อาจเกิดขึ้นภายในเครือข่าย
- การฝึกอบรมความตระหนักด้านความปลอดภัย: จัดการฝึกอบรมการตระหนักรู้ด้านความปลอดภัยเป็นประจำเพื่อให้พนักงานรับรู้และรายงานภัยคุกคามที่อาจเกิดขึ้น
- การแบ่งส่วนเครือข่าย: ใช้การแบ่งส่วนเครือข่ายเพื่อจำกัดผลกระทบของการละเมิดที่อาจเกิดขึ้นและแยกระบบที่สำคัญออก
- ใช้ข้อมูลภัยคุกคามอัจฉริยะขั้นสูง: ใช้ประโยชน์จากข้อมูลภัยคุกคามขั้นสูงเพื่อรับทราบข้อมูลเกี่ยวกับภัยคุกคามและช่องโหว่ที่เกิดขึ้นใหม่
ด้วยการยึดมั่นในแนวทางปฏิบัติที่ดีที่สุดเหล่านี้ องค์กรต่างๆ จึงสามารถปรับปรุงมาตรการรักษาความปลอดภัยทางไซเบอร์และลดความเสี่ยงในการตกเป็นเหยื่อจากการหาประโยชน์โดยกำหนดเป้าหมายไปที่ช่องโหว่ที่สำคัญ เช่น CVE-2024-21893 ใน อิวานตี สินค้า. การเฝ้าระวัง มาตรการรักษาความปลอดภัยเชิงรุก และการตอบสนองอย่างทันท่วงที ถือเป็นสิ่งสำคัญในภาพรวมภัยคุกคามที่เปลี่ยนแปลงอยู่ในปัจจุบัน