سرور سائیڈ ریکوئسٹ فورجی (SSRF) کی ایک اہم کمزوری، جس کی شناخت CVE-2024-21893 کے طور پر کی گئی ہے، حال ہی میں Ivanti Connect Secure اور Policy Secure پروڈکٹس میں خطرناک پیمانے پر استفادہ کیا گیا ہے۔ بڑے پیمانے پر استحصال کی کوششوں اور ریورس شیل کے قیام سمیت غیر مجاز رسائی کے امکانات کی وجہ سے اس خطرے نے سائبر سیکیورٹی کمیونٹی کے اندر اہم خدشات کو جنم دیا ہے۔
CVE-2024-21893 استحصال کی تفصیلات
یہ استحصال خاص طور پر CVE-2024-21893 کو نشانہ بناتا ہے، جو آئیونٹی کی مصنوعات کے سیکیورٹی ایسسرشن مارک اپ لینگویج (SAML) جزو کے اندر ایک SSRF خامی ہے۔ یہ کمزوری حملہ آوروں کو بغیر تصدیق کے محدود وسائل تک رسائی کی اجازت دیتی ہے۔ شیڈوسرور فاؤنڈیشن نے صورتحال کی سنگینی پر زور دیتے ہوئے 170 سے زیادہ الگ الگ IP پتوں سے استحصال کی کوششوں میں اضافے کی اطلاع دی۔
خاص طور پر، سائبرسیکیوریٹی فرم Rapid7 نے ایک پروف-آف-کانسیپٹ (PoC) استحصال جاری کیا جو CVE-2024-21893 کو CVE-2024-21887 کے ساتھ جوڑتا ہے، جو پہلے سے پیچ شدہ کمانڈ انجیکشن کی خرابی ہے۔ یہ امتزاج غیر مستند ریموٹ کوڈ پر عمل درآمد کی سہولت فراہم کرتا ہے، جو خطرے سے وابستہ خطرات کو بڑھاتا ہے۔
استحصالی زمین کی تزئین اور خطرات
Ivanti VPN ایپلائینسز کے اندر فرسودہ اوپن سورس اجزاء کے استعمال سے صورتحال مزید خراب ہو گئی ہے، جیسا کہ سیکورٹی محقق ول ڈورمن نے روشنی ڈالی ہے۔ استحصال شدہ SSRF کمزوری (CVE-2024-21893) اوپن سورس Shibboleth XMLTooling لائبریری سے وابستہ ہے، جسے جون 2023 میں حل کیا گیا تھا۔
دھمکی آمیز اداکاروں نے صورتحال کا فائدہ اٹھانے میں تیزی سے کام کیا ہے، گوگل کی ملکیت والے مینڈینٹ کی رپورٹوں میں CVE-2023-46805 اور CVE-2024-21887 کے استحصال کا انکشاف کیا گیا ہے۔ ان کارناموں کو مختلف حسب ضرورت ویب شیلز کو تعینات کرنے کے لیے استعمال کیا گیا ہے، بشمول BUSHWALK، CHAINLINE، FRAMESTING، اور LIGHTWIRE۔
عالمی نمائش اور رسپانس
پالو آلٹو نیٹ ورکس یونٹ 42 کے نتائج 28,474 سے 145 جنوری 26 کے درمیان 30 ممالک میں Ivanti Connect Secure اور Policy Secure کے 2024 واقعات کے ساتھ عالمی نمائش کے حوالے سے نشاندہی کرتے ہیں۔ مزید برآں، 610 سمجھوتہ شدہ واقعات کی شناخت 44 ممالک میں کی گئی۔ .
بڑھتے ہوئے خطرات کے جواب میں، Ivanti نے خطرات سے نمٹنے کے لیے اقدامات کیے ہیں۔ انہوں نے ایک دوسری تخفیف کی فائل جاری کی اور 1 فروری 2024 سے سرکاری پیچ کی تقسیم کا آغاز کیا۔ تنظیموں پر زور دیا جاتا ہے کہ وہ فوری طور پر ان پیچ کو لاگو کریں اور اس طرح کے خطرات اور PoC استحصال سے پیدا ہونے والے خطرات کو کم کرنے کے لیے سخت حفاظتی اقدامات کو نافذ کریں۔
روک تھام کے لیے بہترین طریقے
مستقبل میں انفیکشن اور محفوظ نظام کو روکنے کے لیے، تنظیموں کو درج ذیل بہترین طریقوں کو اپنانا چاہیے:
- فوری طور پر پیچ کا اطلاق کریں: معلوم کمزوریوں کو دور کرنے کے لیے سافٹ ویئر فروشوں کی طرف سے فراہم کردہ حفاظتی پیچ کو باقاعدگی سے اپ ڈیٹ اور لاگو کریں۔
- مسلسل نگرانی: نیٹ ورک کے اندر مشکوک سرگرمیوں اور ممکنہ حفاظتی خطرات کے لیے مسلسل نگرانی کو نافذ کریں۔
- سیکورٹی سے آگاہی کی تربیت: ممکنہ خطرات کو پہچاننے اور ان کی اطلاع دینے کے لیے ملازمین کے لیے سیکیورٹی سے متعلق آگاہی کی باقاعدہ تربیت کا انعقاد کریں۔
- نیٹ ورک کی تقسیم: ممکنہ خلاف ورزیوں کے اثرات کو محدود کرنے اور اہم نظاموں کو الگ تھلگ کرنے کے لیے نیٹ ورک سیگمنٹیشن کا استعمال کریں۔
- اعلی درجے کی دھمکی کی انٹیلی جنس کا استعمال کریں: ابھرتے ہوئے خطرات اور کمزوریوں کے بارے میں باخبر رہنے کے لیے خطرے کی جدید ذہانت سے فائدہ اٹھائیں۔
ان بہترین طریقوں پر عمل پیرا ہو کر، تنظیمیں اپنی سائبرسیکیوریٹی پوزیشن کو بڑھا سکتی ہیں اور CVE-2024-21893 جیسی اہم کمزوریوں کو نشانہ بنانے والے استحصال کا شکار ہونے کے خطرے کو کم کر سکتی ہیں۔ اوونتی مصنوعات. چوکسی، فعال حفاظتی اقدامات، اور بروقت ردعمل آج کے خطرے کے بڑھتے ہوئے منظر نامے میں ضروری ہے۔