Uma vulnerabilidade crítica de falsificação de solicitação no servidor (CVE-2024-21893), afetando Ivanti Os produtos Connect Secure e Policy Secure foram explorados em uma escala alarmante, levantando preocupações significativas na comunidade de segurança cibernética.
A Shadowserver Foundation relatou um aumento nas tentativas de exploração, originário de mais 170 endereços IP distintos, visando a vulnerabilidade para estabelecer acesso não autorizado, incluindo um shell reverso.
CVE-2024-21893 Falha Ivanti sob exploração
A exploração tem como alvo CVE-2024-21893, uma falha grave de SSRF no componente SAML dos produtos da Ivanti, permitindo que invasores acessem recursos restritos sem autenticação. A Ivanti reconheceu anteriormente ataques direcionados a um número limitado de clientes, mas alertou sobre riscos crescentes após a divulgação pública.
Após o lançamento de uma exploração de prova de conceito pela empresa de segurança cibernética Rapid7, a situação piorou. O PoC combina CVE-2024-21893 com CVE-2024-21887, uma falha de injeção de comando corrigida anteriormente, facilitando a execução remota de código não autenticado.
É notável que CVE-2024-21893 é uma vulnerabilidade SSRF na biblioteca Shibboleth XMLTooling de código aberto, resolvido em junho 2023. O pesquisador de segurança Will Dormann destacou componentes adicionais de código aberto desatualizados utilizados pelos dispositivos Ivanti VPN, exacerbando ainda mais o cenário de risco.
Em resposta às ameaças em evolução, A Ivanti lançou um segundo arquivo de mitigação e iniciou a distribuição de patches oficiais a partir de fevereiro 1, 2024, para resolver todas as vulnerabilidades identificadas.
A gravidade da situação é ressaltada por relatórios da Mandiant, de propriedade do Google, revelando atores de ameaças’ exploração de CVE-2023-46805 e CVE-2024-21887 para implantar vários web shells personalizados, incluindo BUSHWALK, LINHA DE CORRENTE, QUADRO, e LUZ.
além do que, além do mais, As descobertas da Unidade 42 da Palo Alto Networks revelaram uma exposição global preocupante, com 28,474 instâncias do Ivanti Connect Secure e Policy Secure detectadas em 145 países entre janeiro 26 e 30, 2024. além disso, 610 instâncias comprometidas foram identificadas em 44 países a partir de janeiro 23, 2024.
O aumento da exploração processa a necessidade crítica das organizações aplicarem prontamente patches e implementarem medidas de segurança rigorosas para evitar o risco representado por tais vulnerabilidades e explorações de PoC.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: