一個嚴重的伺服器端請求偽造 (SSRF) 漏洞(編號為 CVE-2024-21893)最近在 Ivanti Connect Secure 和 Policy Secure 產品中被以驚人的規模利用。由於大規模利用嘗試和未經授權存取的可能性(包括建立反向 shell),該漏洞引起了網路安全界的嚴重關注。
CVE-2024-21893 利用的詳細信息
此漏洞專門針對 CVE-2024-21893,這是 Ivanti 產品的安全斷言標記語言 (SAML) 元件中的 SSRF 缺陷。該漏洞允許攻擊者無需身份驗證即可存取受限資源。 Shadowserver 基金會報告稱,來自 170 多個不同 IP 位址的利用嘗試激增,強調了情況的嚴重性。
值得注意的是,網路安全公司 Rapid7 發布了一個概念驗證 (PoC) 漏洞,該漏洞結合了 CVE-2024-21893 和 CVE-2024-21887(先前已修補的命令注入漏洞)。這種組合有助於未經身份驗證的遠端程式碼執行,從而增加了與漏洞相關的風險。
開採情況和風險
正如安全研究員 Will Dormann 所強調的那樣,Ivanti VPN 設備中使用過時的開源元件加劇了這種情況。被利用的 SSRF 漏洞 (CVE-2024-21893) 與開源 Shibboleth XMLTooling 庫相關,該漏洞已於 2023 年 XNUMX 月解決。
威脅行為者很快就利用了這種情況,Google 旗下的 Mandiant 的報告揭示了 CVE-2023-46805 和 CVE-2024-21887 的利用。這些漏洞已用於部署各種自訂 Web shell,包括 BUSHWALK、CHAINLINE、FRAMESTING 和 LIGHTWIRE。
全球暴露與反應
Palo Alto Networks Unit 42 的調查結果表明,全球暴露情況令人擔憂,28,474 年145 月26 日至30 日期間,在2024 個國家/地區檢測到610 個Ivanti Connect Secure 和Policy Secure 實例。此外,截至44 個Ivanti Connect Secure 和Policy Secure 實例。此外,截至23 個。年2024 月XNUMX 日,在XNUMX 個國家發現了XNUMX 個受感染實例。
為了應對不斷升級的威脅,Ivanti 已採取措施解決這些漏洞。他們發布了第二個緩解文件,並於 1 年 2024 月 XNUMX 日開始分發官方修補程式。敦促組織立即應用這些修補程式並實施嚴格的安全措施,以減輕此類漏洞和 PoC 漏洞帶來的風險。
預防的最佳實踐
為了防止未來感染並確保系統安全,組織應採用以下最佳實務:
- 及時套用補丁: 定期更新並應用軟體供應商提供的安全性補丁,以解決已知漏洞。
- 持續監控: 對網路內的可疑活動和潛在安全威脅實施持續監控。
- 安全意識培訓: 定期對員工進行安全意識培訓,以識別和報告潛在威脅。
- 網路分段: 採用網路分段來限制潛在違規的影響並隔離關鍵系統。
- 利用高階威脅情報: 利用高階威脅情報隨時了解新出現的威脅和漏洞。
透過遵循這些最佳實踐,組織可以增強其網路安全態勢,並降低成為針對 CVE-2024-21893 等關鍵漏洞的攻擊受害者的風險。 伊万蒂 產品。在當今不斷變化的威脅情勢中,保持警惕、主動採取安全措施和及時回應至關重要。