Ranjivost Ivanti Connect Secure i Ivanti Policy Secure server-side request forgery (SSRF) praćena kao CVE-2024-21893 trenutno je pod masovnom eksploatacijom od strane više napadača.
Ivanti je prvi put upozorio na propust u SAML komponentama gatewaya 31. januara 2024. godine, dajući mu status nultog dana za ograničenu aktivnu eksploataciju, što utiče na mali broj korisnika.
Eksploatacija CVE-2024-21893 omogućila je napadačima da zaobiđu autentifikaciju i pristupe ograničenim resursima na ranjivim uređajima (verzije 9.x i 22.x).
Servis za praćenje prijetnji Shadowserver sada vidi više napadača koji koriste SSRF grešku, sa 170 različitih IP adresa koje pokušavaju da iskoriste grešku.
Obim eksploatacije ove posebne ranjivosti je daleko veći od onog kod drugih nedavno ispravljenih ili ublaženih Ivanti nedostataka, što ukazuje na jasan pomak u fokusu napadača.
Iako je eksploatacija dokaza koncepta (PoC) koju su istraživači Rapid7 objavili 2. februara 2024. godine nesumnjivo odigrala ulogu u pomaganju napada, Shadowserver napominje da su vidjeli kako napadači koriste slične metode nekoliko sati prije objavljivanja izvještaja Rapid7.
To znači da su hakeri već smislili kako da iskoriste CVE-2024-21893 za neograničen, neautorizovan pristup ranjivim Ivanti krajnjim tačkama.
Prema ShadowServer-u, trenutno je gotovo 22.500 Ivanti Connect Secure uređaja izloženih na Internetu. Međutim, nepoznato je koliko ih je ranjivo na ovu ranjivost.
Sigurnosni nered
Otkrivanje CVE-2024-21893 došlo je zajedno s objavljivanjem sigurnosnih ažuriranja za dva druga nulta dana koja su uticala na iste proizvode, CVE-2023-46805 i CVE-2024-21887, koje je Ivanti prvi otkrio 10. januara 2024. dijeleći privremena ublažavanja.
Utvrđeno je da je kineska špijunska grupa UTA0178/UNC5221 iskoristila ove dvije greške za instaliranje web shell-a i backdoor-a na provaljene uređaje. Broj zaraženih u ovoj kampanji dostigao je vrhunac od oko 1.700 sredinom januara.
Uprkos početnim ublažavanjima, napadači su zaobišli odbranu, kompromitujući čak i konfiguracione fajlove uređaja, što je dovelo do toga da Ivanti odloži svoje zakrpe firmvera, zakazane za 22. januar, kako bi se pozabavio sofisticiranom prijetnjom.
Zbog situacije s aktivnom eksploatacijom višestrukih kritičnih ranjivosti nultog dana, nedostatka efikasnih ublažavanja i nedostatka sigurnosnih ažuriranja za neke od pogođenih verzija proizvoda, Američka agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) naredila je federalnim agencijama da isključe sve Ivanti Connect Secure i Policy Secure VPN uređaje.
Samo uređaji koji su vraćeni na tvorničke postavke i nadograđeni na najnoviju verziju firmvera trebaju biti ponovo povezani na mrežu. Međutim, starije verzije koje su i dalje pogođene još uvijek su bez zakrpe.
Ovo uputstvo se odnosi i na privatne organizacije, iako nije obavezno. Stoga bi kompanije trebale ozbiljno razmotriti sigurnosni status svojih Ivanti implementacija i povjerenje u svoje okruženje uopšteno.
Izvor: BleepingComputer