Критична вразливість підробки запитів на стороні сервера (SSRF), ідентифікована як CVE-2024-21893, нещодавно використовувалася в загрозливих масштабах у продуктах Ivanti Connect Secure і Policy Secure. Ця вразливість викликала значне занепокоєння в спільноті кібербезпеки через масові спроби її використання та можливість несанкціонованого доступу, включаючи встановлення зворотної оболонки.
Деталі використання CVE-2024-21893
Експлойт спеціально націлений на CVE-2024-21893, недолік SSRF у компоненті Security Assertion Markup Language (SAML) продуктів Ivanti. Ця вразливість дозволяє зловмисникам отримувати доступ до обмежених ресурсів без автентифікації. Shadowserver Foundation повідомив про сплеск спроб експлуатації з понад 170 різних IP-адрес, підкреслюючи серйозність ситуації.
Зокрема, фірма з кібербезпеки Rapid7 випустила експлойт для підтвердження концепції (PoC), який поєднує в собі CVE-2024-21893 і CVE-2024-21887, раніше виправлену помилку впровадження команд. Ця комбінація полегшує неавтентифіковане віддалене виконання коду, посилюючи ризики, пов’язані з уразливістю.
Ландшафт експлуатації та ризики
Ситуація погіршується використанням застарілих компонентів з відкритим кодом у пристроях Ivanti VPN, як підкреслив дослідник безпеки Вілл Дорманн. Використовувана вразливість SSRF (CVE-2024-21893) пов’язана з бібліотекою Shibboleth XMLTooling з відкритим кодом, яку було усунено в червні 2023 року.
Зловмисники швидко скористалися ситуацією: звіти Mandiant, що належать Google, розкривають використання CVE-2023-46805 і CVE-2024-21887. Ці експлойти використовувалися для розгортання різних спеціальних веб-оболонок, зокрема BUSHWALK, CHAINLINE, FRAMESTING і LIGHTWIRE.
Глобальна експозиція та реакція
Висновки Palo Alto Networks Unit 42 свідчать про занепокоєння у глобальному масштабі: 28,474 145 екземпляри Ivanti Connect Secure і Policy Secure виявлено в 26 країнах у період з 30 по 2024 січня 610 року. Крім того, станом на 44 січня 23 року в 2024 країнах було виявлено XNUMX скомпрометованих екземплярів. .
У відповідь на ескалацію загроз Ivanti вжив заходів для усунення вразливостей. Вони випустили другий файл пом’якшення та розпочали розповсюдження офіційних виправлень з 1 лютого 2024 року. Організаціям настійно рекомендується негайно застосувати ці виправлення та вжити суворих заходів безпеки, щоб зменшити ризики, пов’язані з такими вразливими місцями та використанням PoC.
Найкращі методи профілактики
Щоб запобігти майбутнім зараженням і захистити системи, організації повинні прийняти такі найкращі методи:
- Негайне застосування патчів: Регулярно оновлюйте та застосовуйте патчі безпеки, надані постачальниками програмного забезпечення, щоб усунути відомі вразливості.
- Постійний моніторинг: Впроваджуйте постійний моніторинг підозрілих дій і потенційних загроз безпеці в мережі.
- Навчання з безпеки: Проводьте регулярні тренінги з безпеки для співробітників, щоб розпізнавати потенційні загрози та повідомляти про них.
- Сегментація мережі: Використовуйте сегментацію мережі, щоб обмежити вплив потенційних зломів і ізолювати критичні системи.
- Використовуйте Advanced Threat Intelligence: Використовуйте розширені дані про загрози, щоб бути в курсі нових загроз і вразливостей.
Дотримуючись цих найкращих практик, організації можуть покращити свою кібербезпеку та зменшити ризик стати жертвою експлойтів, націлених на такі критичні вразливості, як CVE-2024-21893 у Іванті продуктів. Пильність, профілактичні заходи безпеки та своєчасне реагування є важливими в сучасному мінливому ландшафті загроз.