一个严重的服务器端请求伪造 (SSRF) 漏洞(编号为 CVE-2024-21893)最近在 Ivanti Connect Secure 和 Policy Secure 产品中被以惊人的规模利用。由于大规模利用尝试和未经授权访问的可能性(包括建立反向 shell),该漏洞引起了网络安全界的严重关注。
CVE-2024-21893 利用的详细信息
该漏洞专门针对 CVE-2024-21893,这是 Ivanti 产品的安全断言标记语言 (SAML) 组件中的 SSRF 缺陷。该漏洞允许攻击者无需身份验证即可访问受限资源。 Shadowserver 基金会报告称,来自 170 多个不同 IP 地址的利用尝试激增,强调了情况的严重性。
值得注意的是,网络安全公司 Rapid7 发布了一个概念验证 (PoC) 漏洞,该漏洞结合了 CVE-2024-21893 和 CVE-2024-21887(之前已修补的命令注入漏洞)。这种组合有助于未经身份验证的远程代码执行,从而增加了与漏洞相关的风险。
开采情况和风险
正如安全研究员 Will Dormann 所强调的那样,Ivanti VPN 设备中使用过时的开源组件加剧了这种情况。被利用的 SSRF 漏洞 (CVE-2024-21893) 与开源 Shibboleth XMLTooling 库相关,该漏洞已于 2023 年 XNUMX 月得到解决。
威胁行为者很快就利用了这一情况,Google 旗下的 Mandiant 的报告揭示了 CVE-2023-46805 和 CVE-2024-21887 的利用情况。这些漏洞已用于部署各种自定义 Web shell,包括 BUSHWALK、CHAINLINE、FRAMESTING 和 LIGHTWIRE。
全球暴露和反应
Palo Alto Networks Unit 42 的调查结果表明,全球暴露情况令人担忧,28,474 年 145 月 26 日至 30 日期间,在 2024 个国家/地区检测到 610 个 Ivanti Connect Secure 和 Policy Secure 实例。此外,截至 44 年 23 月 2024 日,在 XNUMX 个国家/地区发现了 XNUMX 个受感染实例。
为了应对不断升级的威胁,Ivanti 已采取措施解决这些漏洞。他们发布了第二个缓解文件,并于 1 年 2024 月 XNUMX 日开始分发官方补丁。敦促组织立即应用这些补丁并实施严格的安全措施,以减轻此类漏洞和 PoC 漏洞带来的风险。
预防的最佳实践
为了防止未来感染并确保系统安全,组织应采用以下最佳实践:
- 及时应用补丁: 定期更新并应用软件供应商提供的安全补丁,以解决已知漏洞。
- 持续监控: 对网络内的可疑活动和潜在安全威胁实施持续监控。
- 安全意识培训: 定期对员工进行安全意识培训,以识别和报告潜在威胁。
- 网络分割: 采用网络分段来限制潜在违规的影响并隔离关键系统。
- 利用高级威胁情报: 利用高级威胁情报随时了解新出现的威胁和漏洞。
通过遵循这些最佳实践,组织可以增强其网络安全态势,并降低成为针对 CVE-2024-21893 等关键漏洞的攻击受害者的风险。 Ivanti 产品。在当今不断变化的威胁形势中,保持警惕、主动采取安全措施和及时响应至关重要。