Một lỗ hổng nghiêm trọng giả mạo yêu cầu phía máy chủ (SSRF), được xác định là CVE-2024-21893, gần đây đã bị khai thác ở quy mô đáng báo động trong các sản phẩm Ivanti Connect Secure và Policy Secure. Lỗ hổng này đã gây ra mối lo ngại đáng kể trong cộng đồng an ninh mạng do các nỗ lực khai thác hàng loạt và khả năng truy cập trái phép, bao gồm cả việc thiết lập một lớp vỏ đảo ngược.
Chi tiết về khai thác CVE-2024-21893
Việc khai thác đặc biệt nhắm vào CVE-2024-21893, một lỗ hổng SSRF trong thành phần Ngôn ngữ đánh dấu xác nhận bảo mật (SAML) trong các sản phẩm của Ivanti. Lỗ hổng này cho phép kẻ tấn công truy cập các tài nguyên bị hạn chế mà không cần xác thực. Shadowserver Foundation đã báo cáo sự gia tăng các nỗ lực khai thác bắt nguồn từ hơn 170 địa chỉ IP riêng biệt, nhấn mạnh mức độ nghiêm trọng của tình hình.
Đáng chú ý, công ty an ninh mạng Rapid7 đã phát hành một khai thác bằng chứng khái niệm (PoC) kết hợp CVE-2024-21893 với CVE-2024-21887, một lỗ hổng chèn lệnh đã được vá trước đó. Sự kết hợp này tạo điều kiện cho việc thực thi mã từ xa không được xác thực, làm tăng thêm rủi ro liên quan đến lỗ hổng bảo mật.
Bối cảnh khai thác và rủi ro
Nhà nghiên cứu bảo mật Will Dormann nhấn mạnh tình hình càng trở nên trầm trọng hơn do việc sử dụng các thành phần nguồn mở lỗi thời trong các thiết bị Ivanti VPN. Lỗ hổng SSRF bị khai thác (CVE-2024-21893) có liên quan đến thư viện Shibboleth XMLTooling mã nguồn mở, đã được giải quyết vào tháng 2023 năm XNUMX.
Những kẻ đe dọa đã nhanh chóng lợi dụng tình huống này, với các báo cáo từ Mandiant thuộc sở hữu của Google tiết lộ việc khai thác CVE-2023-46805 và CVE-2024-21887. Những cách khai thác này đã được sử dụng để triển khai nhiều web shell tùy chỉnh khác nhau, bao gồm BUSHWALK, CHAINLINE, FRAMESTING và LIGHTWIRE.
Tiếp xúc và ứng phó toàn cầu
Các phát hiện của Palo Alto Networks Unit 42 cho thấy mức độ phơi nhiễm đáng lo ngại trên toàn cầu, với 28,474 trường hợp Ivanti Connect Secure và Policy Secure được phát hiện ở 145 quốc gia trong khoảng thời gian từ ngày 26 đến ngày 30 tháng 2024 năm 610. Hơn nữa, 44 trường hợp bị xâm phạm đã được xác định trên 23 quốc gia tính đến ngày 2024 tháng XNUMX năm XNUMX .
Để đối phó với các mối đe dọa ngày càng gia tăng, Ivanti đã thực hiện các biện pháp để giải quyết các lỗ hổng. Họ đã phát hành tệp giảm nhẹ thứ hai và bắt đầu phân phối các bản vá chính thức kể từ ngày 1 tháng 2024 năm XNUMX. Các tổ chức được khuyến khích áp dụng kịp thời các bản vá này và thực hiện các biện pháp bảo mật nghiêm ngặt để giảm thiểu rủi ro do các lỗ hổng đó và hoạt động khai thác PoC gây ra.
Thực hành tốt nhất để phòng ngừa
Để ngăn chặn sự lây nhiễm trong tương lai và bảo mật hệ thống, các tổ chức nên áp dụng các biện pháp thực hành tốt nhất sau:
- Áp dụng các bản vá kịp thời: Thường xuyên cập nhật và áp dụng các bản vá bảo mật do nhà cung cấp phần mềm cung cấp để giải quyết các lỗ hổng đã biết.
- Giám sát liên tục: Thực hiện giám sát liên tục các hoạt động đáng ngờ và các mối đe dọa bảo mật tiềm ẩn trong mạng.
- Đào tạo nâng cao nhận thức về an ninh: Tiến hành đào tạo nâng cao nhận thức về bảo mật thường xuyên cho nhân viên để nhận biết và báo cáo các mối đe dọa tiềm ẩn.
- Phân đoạn mạng: Sử dụng phân đoạn mạng để hạn chế tác động của các vi phạm tiềm ẩn và cô lập các hệ thống quan trọng.
- Sử dụng thông tin mối đe dọa nâng cao: Tận dụng thông tin tình báo về mối đe dọa nâng cao để luôn được thông tin về các mối đe dọa và lỗ hổng mới nổi.
Bằng cách tuân thủ các biện pháp thực hành tốt nhất này, các tổ chức có thể nâng cao tình trạng an ninh mạng của mình và giảm nguy cơ trở thành nạn nhân của các hoạt động khai thác nhằm vào các lỗ hổng nghiêm trọng như CVE-2024-21893 trong Ngà các sản phẩm. Cảnh giác, các biện pháp an ninh chủ động và phản ứng kịp thời là điều cần thiết trong bối cảnh mối đe dọa đang gia tăng ngày nay.