サーバー側のリクエスト フォージェリの重大な脆弱性 (CVE-2024-21893), 影響 Ivanti Connect Secure および Policy Secure 製品が驚くべき規模で悪用されている, サイバーセキュリティコミュニティに重大な懸念を引き起こしている.
Shadowserver Foundation は、悪用の試みが急増していると報告しました, 上から由来する 170 個別の IP アドレス, 脆弱性を狙って不正アクセスを確立する, リバースシェルを含む.
CVE-2024-21893 Ivanti の欠陥が悪用される
このエクスプロイトは CVE-2024-21893 をターゲットとしています。, Ivanti 製品の SAML コンポーネント内の重大な SSRF 欠陥, 攻撃者が認証なしで制限されたリソースにアクセスできるようにする. Ivantiは以前、限られた数の顧客に対する標的型攻撃を認めていたが、情報公開後にリスクが増大すると警告した.
サイバーセキュリティ企業 Rapid7 による概念実証エクスプロイトのリリースを受けて, 状況は悪化した. PoC は CVE-2024-21893 と CVE-2024-21887 を組み合わせたものです, 以前にパッチが適用されたコマンドインジェクションの欠陥, 認証されていないリモートコードの実行を容易にする.
CVE-2024-21893 がオープンソース Shibboleth XMLTooling ライブラリの SSRF 脆弱性であることは注目に値します。, 6月に解決 2023. セキュリティ研究者の Will Dormann 氏は、Ivanti VPN アプライアンスで利用される追加の古いオープンソース コンポーネントを強調しました, リスク状況をさらに悪化させる.
進化する脅威への対応, Ivanti は 2 番目の緩和ファイルをリリースし、2 月の時点で公式パッチの配布を開始しました。 1, 2024, 特定されたすべての脆弱性に対処する.
状況の深刻さは、Google 傘下の Mandiant からの報告によって強調されています。, 脅威アクターを明らかにする’ さまざまなカスタム Web シェルをデプロイするための CVE-2023-46805 および CVE-2024-21887 の悪用, ブッシュウォークを含む, チェーンライン, フレーミング, そしてライトワイヤー.
加えて, パロアルトネットワークス Unit 42 の調査結果により、懸念される世界規模の感染が明らかになりました, と 28,474 Ivanti Connect Secure および Policy Secure のインスタンスが検出されました 145 1月の間の国 26 と 30, 2024. さらに, 610 侵害されたインスタンスが複数の場所で特定されました 44 1月時点での国 23, 2024.
エクスプロイトの急増により、組織はパッチを迅速に適用し、そのような脆弱性や PoC エクスプロイトによってもたらされるリスクを防ぐために厳格なセキュリティ対策を導入することが重要になっています。.