En kritisk sårbarhed ved anmodningsfalsk på serversiden (CVE-2024-21893), påvirker Ivanti Connect Secure og Policy Secure-produkter er blevet udnyttet i et alarmerende omfang, rejser betydelige bekymringer i cybersikkerhedssamfundet.
Shadowserver Foundation rapporterede en stigning i udnyttelsesforsøg, stammer fra over 170 forskellige IP-adresser, målrette sårbarheden for at etablere uautoriseret adgang, inklusive en omvendt skal.
CVE-2024-21893 Ivanti-fejl under udnyttelse
Udnyttelsen er rettet mod CVE-2024-21893, en alvorlig SSRF-fejl i SAML-komponenten i Ivantis produkter, gør det muligt for angribere at få adgang til begrænsede ressourcer uden godkendelse. Ivanti har tidligere erkendt målrettede angreb på et begrænset antal kunder, men advarede om eskalerede risici efter offentliggørelse.
Efter udgivelsen af en proof-of-concept udnyttelse af cybersikkerhedsfirmaet Rapid7, situationen forværredes. PoC kombinerer CVE-2024-21893 med CVE-2024-21887, en tidligere rettet kommandoindsprøjtningsfejl, lette uautoriseret fjernudførelse af kode.
Det er bemærkelsesværdigt, at CVE-2024-21893 er en SSRF-sårbarhed i open source Shibboleth XMLTooling-biblioteket, løst i juni 2023. Sikkerhedsforsker Will Dormann fremhævede yderligere forældede open source-komponenter, der bruges af Ivanti VPN-apparater, yderligere forværre risikolandskabet.
Som svar på nye trusler, Ivanti udgav en anden afhjælpningsfil og påbegyndte distributionen af officielle patches fra februar 1, 2024, at løse alle identificerede sårbarheder.
Situationens alvor understreges af rapporter fra Google-ejede Mandiant, afslørende trusselsaktører’ udnyttelse af CVE-2023-46805 og CVE-2024-21887 til at implementere forskellige brugerdefinerede web-shells, inklusive BUSHWALK, CHAINLINE, RAMESTNING, og LIGHTWIRE.
Desuden, Palo Alto Networks Unit 42's resultater afslørede en bekymrende global eksponering, med 28,474 forekomster af Ivanti Connect Secure og Policy Secure fundet i 145 lande mellem januar 26 og 30, 2024. Endvidere, 610 kompromitterede tilfælde blev identificeret på tværs 44 lande fra januar 23, 2024.
Den kraftige stigning i udnyttelsen bearbejder det kritiske behov for organisationer for omgående at anvende patches og implementere strenge sikkerhedsforanstaltninger for at forhindre risikoen ved sådanne sårbarheder og PoC-udnyttelser.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: