Eine kritische Sicherheitslücke bei der serverseitigen Anforderungsfälschung (CVE-2024-21893), beeinflussen Ivanti Connect Secure- und Policy Secure-Produkte wurden in besorgniserregendem Ausmaß ausgenutzt, was in der Cybersicherheitsgemeinschaft erhebliche Bedenken hervorruft.
Die Shadowserver Foundation meldete einen Anstieg der Ausbeutungsversuche, von oben stammend 170 eindeutige IP-Adressen, Die Schwachstelle gezielt ausnutzen, um unbefugten Zugriff herzustellen, einschließlich einer umgekehrten Schale.
CVE-2024-21893 Ivanti-Fehler wird ausgenutzt
Der Exploit zielt auf CVE-2024-21893 ab, ein schwerwiegender SSRF-Fehler in der SAML-Komponente der Produkte von Ivanti, Dadurch können Angreifer ohne Authentifizierung auf eingeschränkte Ressourcen zugreifen. Ivanti hat zuvor gezielte Angriffe auf eine begrenzte Anzahl von Kunden eingeräumt, warnte jedoch vor erhöhten Risiken nach der Veröffentlichung.
Nach der Veröffentlichung eines Proof-of-Concept-Exploits durch das Cybersicherheitsunternehmen Rapid7, die Situation verschlechterte sich. Der PoC kombiniert CVE-2024-21893 mit CVE-2024-21887, ein zuvor behobener Befehlsinjektionsfehler, Erleichterung der nicht authentifizierten Remotecodeausführung.
Es ist bemerkenswert, dass CVE-2024-21893 eine SSRF-Schwachstelle in der Open-Source-Bibliothek Shibboleth XMLTooling ist, im Juni gelöst 2023. Der Sicherheitsforscher Will Dormann wies auf weitere veraltete Open-Source-Komponenten hin, die von Ivanti VPN-Appliances verwendet werden, was die Risikolandschaft weiter verschärft.
Als Reaktion auf sich entwickelnde Bedrohungen, Ivanti veröffentlichte eine zweite Schadensbegrenzungsdatei und begann im Februar mit der Verteilung offizieller Patches 1, 2024, um alle identifizierten Schwachstellen zu beheben.
Wie ernst die Lage ist, wird durch Berichte des zu Google gehörenden Unternehmens Mandiant unterstrichen, Aufdeckung von Bedrohungsakteuren’ Ausnutzung von CVE-2023-46805 und CVE-2024-21887 zur Bereitstellung verschiedener benutzerdefinierter Web-Shells, inklusive BUSHWALK, KETTENLINIE, RAHMEN, und LIGHTWIRE.
Außerdem, Die Ergebnisse der Palo Alto Networks Unit 42 zeigten eine besorgniserregende globale Gefährdung, mit 28,474 Instanzen von Ivanti Connect Secure und Policy Secure erkannt in 145 Länder zwischen Januar 26 und 30, 2024. Weiter, 610 kompromittierte Instanzen wurden überall identifiziert 44 Länder ab Januar 23, 2024.
Der Anstieg der Ausnutzung führt dazu, dass Unternehmen dringend Patches anwenden und strenge Sicherheitsmaßnahmen implementieren müssen, um das Risiko zu verhindern, das von solchen Schwachstellen und PoC-Exploits ausgeht.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: