CVE-2024-21893 sifatida aniqlangan server tomonida so'rovlarni qalbakilashtirish (SSRF) muhim zaifligi yaqinda Ivanti Connect Secure va Policy Secure mahsulotlarida dahshatli miqyosda foydalanildi. Ushbu zaiflik kiberxavfsizlik hamjamiyatida ommaviy ekspluatatsiyaga urinishlar va ruxsatsiz kirish potentsiali, jumladan, teskari qobiqni o'rnatish tufayli jiddiy xavotirlarni keltirib chiqardi.
CVE-2024-21893 ekspluatatsiyasi tafsilotlari
Ekspluatatsiya ayniqsa CVE-2024-21893 ga qaratilgan, bu Ivanti mahsulotlarining Security Assertion Markup Language (SAML) komponentidagi SSRF nuqsoni. Ushbu zaiflik tajovuzkorlarga cheklangan resurslarga autentifikatsiyasiz kirish imkonini beradi. Shadowserver jamg'armasi vaziyatning jiddiyligini ta'kidlab, 170 dan ortiq turli IP-manzillardan kelib chiqadigan ekspluatatsiyaga urinishlarning ko'payishi haqida xabar berdi.
Shunisi e'tiborga loyiqki, Rapid7 kiberxavfsizlik firmasi CVE-2024-21893 va CVE-2024-21887ni birlashtirgan kontseptsiyani isbotlovchi (PoC) ekspluatatsiyasini chiqardi, bu avvalroq tuzatilgan buyruqni kiritish nuqsoni. Ushbu kombinatsiya autentifikatsiya qilinmagan masofaviy kod bajarilishini osonlashtiradi va zaiflik bilan bog'liq xavflarni oshiradi.
Ekspluatatsiya manzarasi va xavflari
Vaziyatni xavfsizlik tadqiqotchisi Uill Dormann ta'kidlaganidek, Ivanti VPN qurilmalarida eskirgan ochiq manba komponentlaridan foydalanish yanada og'irlashtirmoqda. Foydalanilgan SSRF zaifligi (CVE-2024-21893) 2023-yil iyun oyida hal qilingan ochiq manbali Shibboleth XMLTooling kutubxonasi bilan bog‘liq.
Tahdidchilar vaziyatdan tezda foydalanishdi, Googlega tegishli Mandiant hisobotlarida CVE-2023-46805 va CVE-2024-21887 ekspluatatsiyasi aniqlandi. Ushbu ekspluatatsiyalar turli xil maxsus veb-qobiqlarni, jumladan BUSHWALK, CHAINLINE, FRAMESTING va LIGHTWIRE-ni joylashtirish uchun ishlatilgan.
Global ta'sir va javob
Palo Alto Networks Unit 42 tadqiqoti natijalariga koʻra, 28,474-yil 145-26-yanvar kunlari orasida 30 ta davlatda Ivanti Connect Secure va Policy Secure’ning 2024 610 ta holati aniqlangan. Bundan tashqari, 44 ta davlatda 23 ta xavf holati aniqlangan. .
O'sib borayotgan tahdidlarga javoban Ivanti zaifliklarni bartaraf etish choralarini ko'rdi. Ular ikkinchi yumshatish faylini chiqardilar va 1-yil 2024-fevraldan boshlab rasmiy yamoqlarni tarqatishni boshladilar. Tashkilotlarga ushbu yamoqlarni zudlik bilan qoʻllash va bunday zaifliklar va PoC ekspluatatsiyasidan kelib chiqadigan xavflarni yumshatish uchun qatʼiy xavfsizlik choralarini koʻrish tavsiya etiladi.
Profilaktikaning eng yaxshi amaliyotlari
Kelajakda infektsiyalar va xavfsiz tizimlarning oldini olish uchun tashkilotlar quyidagi eng yaxshi amaliyotlarni qo'llashlari kerak:
- Yamoqlarni zudlik bilan qo'llang: Ma'lum zaifliklarni bartaraf etish uchun dasturiy ta'minot ishlab chiqaruvchilari tomonidan taqdim etilgan xavfsizlik yamoqlarini muntazam yangilang va qo'llang.
- Doimiy monitoring: Tarmoq ichidagi shubhali harakatlar va potentsial xavfsizlik tahdidlari uchun doimiy monitoringni amalga oshiring.
- Xavfsizlik bo'yicha trening: Potentsial tahdidlarni aniqlash va hisobot berish uchun xodimlar uchun xavfsizlik bo'yicha muntazam treninglar o'tkazing.
- Tarmoq segmentatsiyasi: Potensial buzilishlar ta'sirini cheklash va muhim tizimlarni izolyatsiya qilish uchun tarmoq segmentatsiyasidan foydalaning.
- Kengaytirilgan tahdid razvedkasidan foydalaning: Rivojlanayotgan tahdidlar va zaifliklar haqida xabardor bo'lish uchun ilg'or tahdid razvedkasidan foydalaning.
Ushbu eng yaxshi amaliyotlarga rioya qilgan holda, tashkilotlar kiberxavfsizlik holatini yaxshilashi va CVE-2024-21893 kabi muhim zaifliklarga qaratilgan ekspluatatsiyalar qurboni bo'lish xavfini kamaytirishi mumkin. Ivanta mahsulotlar. Hushyorlik, faol xavfsizlik choralari va o'z vaqtida javob choralari bugungi o'zgaruvchan tahdidlar manzarasida muhim ahamiyatga ega.