Een kritieke kwetsbaarheid voor het vervalsen van verzoeken aan de serverzijde (CVE-2024-21893), invloed Ivanti Connect Secure en Policy Secure-producten worden op alarmerende schaal uitgebuit, Dit leidt tot grote zorgen binnen de cyberbeveiligingsgemeenschap.
De Shadowserver Foundation rapporteerde een toename van het aantal exploitatiepogingen, afkomstig van voorbij 170 verschillende IP-adressen, gericht op de kwetsbaarheid om ongeoorloofde toegang tot stand te brengen, inclusief een omgekeerde schaal.
CVE-2024-21893 Ivanti-fout onder uitbuiting
De exploit is gericht op CVE-2024-21893, een ernstige SSRF-fout in de SAML-component van Ivanti's producten, waardoor aanvallers zonder authenticatie toegang kunnen krijgen tot beperkte bronnen. Ivanti erkende eerder gerichte aanvallen op een beperkt aantal klanten, maar waarschuwde voor geëscaleerde risico's na openbaarmaking.
Na de release van een proof-of-concept-exploit door cyberbeveiligingsbedrijf Rapid7, de situatie verslechterde. De PoC combineert CVE-2024-21893 met CVE-2024-21887, een eerder gepatchte fout in de commando-injectie, het faciliteren van niet-geverifieerde uitvoering van code op afstand.
Het is opmerkelijk dat CVE-2024-21893 een SSRF-kwetsbaarheid is in de open-source Shibboleth XMLTooling-bibliotheek, juni opgelost 2023. Beveiligingsonderzoeker Will Dormann benadrukte aanvullende verouderde open-sourcecomponenten die worden gebruikt door Ivanti VPN-apparaten, waardoor het risicolandschap nog verder verslechtert.
Als reactie op evoluerende bedreigingen, Ivanti heeft een tweede mitigatiebestand uitgebracht en is vanaf februari begonnen met de distributie van officiële patches 1, 2024, om alle geïdentificeerde kwetsbaarheden aan te pakken.
De ernst van de situatie wordt onderstreept door rapporten van Mandiant, eigendom van Google, het onthullen van dreigingsactoren’ exploitatie van CVE-2023-46805 en CVE-2024-21887 om verschillende aangepaste webshells te implementeren, inclusief BUSHWALK, KETTINGLIJN, KADER, en LICHTDRAAD.
Bovendien, De bevindingen van Palo Alto Networks Unit 42 brachten een zorgwekkende mondiale bekendheid aan het licht, met 28,474 exemplaren van Ivanti Connect Secure en Policy Secure gedetecteerd in 145 landen tussen januari 26 en 30, 2024. Bovendien, 610 Er werden overal gecompromitteerde gevallen geïdentificeerd 44 landen vanaf januari 23, 2024.
De toename van het exploitatieproces, de cruciale noodzaak voor organisaties om onmiddellijk patches toe te passen en strikte beveiligingsmaatregelen te implementeren om het risico van dergelijke kwetsbaarheden en PoC-exploits te voorkomen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: