Una vulnerabilità critica legata alla falsificazione delle richieste lato server (CVE-2024-21893), interessano Ivanti I prodotti Connect Secure e Policy Secure sono stati sfruttati in misura allarmante, sollevando preoccupazioni significative nella comunità della sicurezza informatica.
La Shadowserver Foundation ha segnalato un aumento dei tentativi di sfruttamento, proveniente da sopra 170 indirizzi IP distinti, mirare alla vulnerabilità per stabilire un accesso non autorizzato, compreso un guscio inverso.
CVE-2024-21893 Ivanti Flaw Under Exploitation
L'exploit prende di mira CVE-2024-21893, un grave difetto SSRF all'interno del componente SAML dei prodotti Ivanti, consentendo agli aggressori di accedere a risorse riservate senza autenticazione. Ivanti aveva già riconosciuto gli attacchi mirati contro un numero limitato di clienti, ma aveva avvertito dell’aumento dei rischi dopo la divulgazione pubblica.
In seguito al rilascio di un exploit proof-of-concept da parte della società di sicurezza informatica Rapid7, la situazione è peggiorata. Il PoC combina CVE-2024-21893 con CVE-2024-21887, un difetto di iniezione dei comandi precedentemente corretto, facilitare l'esecuzione di codice remoto non autenticato.
È interessante notare che CVE-2024-21893 è una vulnerabilità SSRF nella libreria open source Shibboleth XMLTooling, risolto nel mese di giugno 2023. Il ricercatore di sicurezza Will Dormann ha evidenziato ulteriori componenti open source obsoleti utilizzati dalle apparecchiature VPN Ivanti, aggravando ulteriormente il panorama dei rischi.
In risposta alle minacce in evoluzione, Ivanti ha rilasciato un secondo file di mitigazione e ha avviato la distribuzione delle patch ufficiali a partire da febbraio 1, 2024, per affrontare tutte le vulnerabilità identificate.
La gravità della situazione è sottolineata dai rapporti di Mandiant, di proprietà di Google, rivelare gli attori delle minacce’ sfruttamento di CVE-2023-46805 e CVE-2024-21887 per distribuire varie shell web personalizzate, incluso BUSHWALK, LINEA DI CATENA, INCORNICIATURA, e FILO LUCE.
In aggiunta, I risultati dell'Unità 42 di Palo Alto Networks hanno rivelato un'esposizione globale preoccupante, con 28,474 istanze di Ivanti Connect Secure e Policy Secure rilevate in 145 paesi tra gennaio 26 e 30, 2024. Inoltre, 610 sono state identificate istanze compromesse 44 paesi a partire da gennaio 23, 2024.
L’impennata degli exploit genera la necessità fondamentale per le organizzazioni di applicare tempestivamente patch e implementare rigorose misure di sicurezza per prevenire il rischio rappresentato da tali vulnerabilità e exploit PoC.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: