Una vulnerabilidad crítica de falsificación de solicitudes del lado del servidor (CVE-2024-21893), afectando Ivanti Los productos Connect Secure y Policy Secure han sido explotados a una escala alarmante, planteando preocupaciones importantes en la comunidad de ciberseguridad.
La Fundación Shadowserver informó de un aumento en los intentos de explotación, originario de más 170 direcciones IP distintas, Apuntar a la vulnerabilidad para establecer acceso no autorizado., incluyendo un caparazón inverso.
CVE-2024-21893 Falla de Ivanti bajo explotación
El exploit apunta a CVE-2024-21893, una falla grave de SSRF dentro del componente SAML de los productos de Ivanti, permitir a los atacantes acceder a recursos restringidos sin autenticación. Ivanti reconoció anteriormente ataques dirigidos a un número limitado de clientes, pero advirtió sobre riesgos cada vez mayores después de la divulgación pública..
Tras el lanzamiento de una prueba de concepto de exploit por parte de la empresa de ciberseguridad Rapid7, la situación empeoró. El PoC combina CVE-2024-21893 con CVE-2024-21887, un defecto de inyección de comando previamente parcheado, facilitar la ejecución remota de código no autenticado.
Es de destacar que CVE-2024-21893 es una vulnerabilidad SSRF en la biblioteca de código abierto Shibboleth XMLTooling., resuelto en junio 2023. El investigador de seguridad Will Dormann destacó componentes de código abierto obsoletos adicionales utilizados por los dispositivos VPN de Ivanti., exacerbando aún más el panorama de riesgos.
En respuesta a las amenazas en evolución, Ivanti lanzó un segundo archivo de mitigación e inició la distribución de parches oficiales a partir de febrero. 1, 2024, para abordar todas las vulnerabilidades identificadas.
La gravedad de la situación queda subrayada por los informes de Mandiant, propiedad de Google., revelando actores de amenazas’ explotación de CVE-2023-46805 y CVE-2024-21887 para implementar varios shells web personalizados, Incluyendo Bushwalk, LÍNEA DE CADENA, ENMARCADO, y CABLE DE LUZ.
Adicionalmente, Los hallazgos de la Unidad 42 de Palo Alto Networks revelaron una exposición global preocupante, con 28,474 Instancias de Ivanti Connect Secure y Policy Secure detectadas en 145 países entre enero 26 y 30, 2024. Además, 610 Se identificaron instancias comprometidas en todo 44 países a enero 23, 2024.
El aumento de la explotación genera la necesidad crítica de que las organizaciones apliquen parches rápidamente e implementen medidas de seguridad estrictas para prevenir el riesgo que representan tales vulnerabilidades y exploits PoC..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: