Une vulnérabilité critique de falsification de requêtes côté serveur (CVE-2024-21893), affectant Ivanti Les produits Connect Secure et Policy Secure ont été exploités à une échelle alarmante, soulevant d’importantes inquiétudes au sein de la communauté de la cybersécurité.
La Fondation Shadowserver a signalé une augmentation des tentatives d'exploitation, originaire de plus 170 adresses IP distinctes, cibler la vulnérabilité pour établir un accès non autorisé, y compris une coque inversée.
CVE-2024-21893 Faille Ivanti en cours d'exploitation
L'exploit cible CVE-2024-21893, une grave faille SSRF dans le composant SAML des produits Ivanti, permettre aux attaquants d'accéder à des ressources restreintes sans authentification. Ivanti avait précédemment reconnu des attaques ciblées sur un nombre limité de clients, mais avait mis en garde contre une escalade des risques après la divulgation publique..
Suite à la publication d'un exploit de preuve de concept par la société de cybersécurité Rapid7, la situation s'est aggravée. Le PoC combine CVE-2024-21893 avec CVE-2024-21887, une faille d'injection de commandes précédemment corrigée, faciliter l'exécution de code à distance non authentifié.
Il est à noter que CVE-2024-21893 est une vulnérabilité SSRF dans la bibliothèque open source Shibboleth XMLTooling., résolu en juin 2023. Le chercheur en sécurité Will Dormann a mis en évidence d'autres composants open source obsolètes utilisés par les appliances Ivanti VPN., exacerbant encore le paysage des risques.
En réponse à l’évolution des menaces, Ivanti a publié un deuxième fichier d'atténuation et a lancé la distribution des correctifs officiels dès février. 1, 2024, pour remédier à toutes les vulnérabilités identifiées.
La gravité de la situation est soulignée par les rapports de Mandiant, propriété de Google., révéler les acteurs de la menace’ exploitation de CVE-2023-46805 et CVE-2024-21887 pour déployer divers web shells personnalisés, y compris BUSHWALK, LIGNE DE CHAÎNE, CADRAGE, et FIL LUMINEUX.
En outre, Les découvertes de l'unité 42 de Palo Alto Networks ont révélé une exposition mondiale préoccupante, avec 28,474 instances d'Ivanti Connect Secure et Policy Secure détectées dans 145 pays entre janvier 26 et 30, 2024. En outre, 610 des instances compromises ont été identifiées dans 44 pays en janvier 23, 2024.
L'augmentation du nombre d'exploitations témoigne de la nécessité cruciale pour les organisations d'appliquer rapidement des correctifs et de mettre en œuvre des mesures de sécurité strictes pour prévenir le risque posé par de telles vulnérabilités et exploits PoC..
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: