More

    Najnoviji Ivanti SSRF nulti dan sada u masovnoj eksploataciji

    Ranjivost Ivanti Connect Secure i Ivanti Policy Secure server-side request forgery (SSRF) praćena kao CVE-2024-21893 trenutno je pod masovnom eksploatacijom od strane više napadača.

    Ivanti je prvi put upozorio na propust u SAML komponentama gatewaya 31. januara 2024. godine, dajući mu status nultog dana za ograničenu aktivnu eksploataciju, što utiče na mali broj korisnika.

    Eksploatacija CVE-2024-21893 omogućila je napadačima da zaobiđu autentifikaciju i pristupe ograničenim resursima na ranjivim uređajima (verzije 9.x i 22.x).

    Servis za praćenje prijetnji Shadowserver sada vidi više napadača koji koriste SSRF grešku, sa 170 različitih IP adresa koje pokušavaju da iskoriste grešku.

    Najnoviji Ivanti SSRF nulti dan sada u masovnoj eksploataciji - Kiber.ba

    Obim eksploatacije ove posebne ranjivosti je daleko veći od onog kod drugih nedavno ispravljenih ili ublaženih Ivanti nedostataka, što ukazuje na jasan pomak u fokusu napadača.

    Najnoviji Ivanti SSRF nulti dan sada u masovnoj eksploataciji - Kiber.ba

    Iako je eksploatacija dokaza koncepta (PoC) koju su istraživači Rapid7 objavili 2. februara 2024. godine nesumnjivo odigrala ulogu u pomaganju napada, Shadowserver napominje da su vidjeli kako napadači koriste slične metode nekoliko sati prije objavljivanja izvještaja Rapid7.

    To znači da su hakeri već smislili kako da iskoriste CVE-2024-21893 za neograničen, neautorizovan pristup ranjivim Ivanti krajnjim tačkama.

    Prema ShadowServer-u, trenutno je gotovo 22.500 Ivanti Connect Secure uređaja izloženih na Internetu. Međutim, nepoznato je koliko ih je ranjivo na ovu ranjivost.

    Sigurnosni nered

    Otkrivanje CVE-2024-21893 došlo je zajedno s objavljivanjem sigurnosnih ažuriranja za dva druga nulta dana koja su uticala na iste proizvode, CVE-2023-46805 i CVE-2024-21887, koje je Ivanti prvi otkrio 10. januara 2024. dijeleći privremena ublažavanja.

    Utvrđeno je da je kineska špijunska grupa UTA0178/UNC5221 iskoristila ove dvije greške za instaliranje web shell-a i backdoor-a na provaljene uređaje. Broj zaraženih u ovoj kampanji dostigao je vrhunac od oko 1.700 sredinom januara.

    Uprkos početnim ublažavanjima, napadači su zaobišli odbranu, kompromitujući čak i konfiguracione fajlove uređaja, što je dovelo do toga da Ivanti odloži svoje zakrpe firmvera, zakazane za 22. januar, kako bi se pozabavio sofisticiranom prijetnjom.

    Zbog situacije s aktivnom eksploatacijom višestrukih kritičnih ranjivosti nultog dana, nedostatka efikasnih ublažavanja i nedostatka sigurnosnih ažuriranja za neke od pogođenih verzija proizvoda, Američka agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) naredila je federalnim agencijama da isključe sve Ivanti Connect Secure i Policy Secure VPN uređaje.

    Samo uređaji koji su vraćeni na tvorničke postavke i nadograđeni na najnoviju verziju firmvera trebaju biti ponovo povezani na mrežu. Međutim, starije verzije koje su i dalje pogođene još uvijek su bez zakrpe.

    Ovo uputstvo se odnosi i na privatne organizacije, iako nije obavezno. Stoga bi kompanije trebale ozbiljno razmotriti sigurnosni status svojih Ivanti implementacija i povjerenje u svoje okruženje uopšteno.

    Izvor: BleepingComputer

    Recent Articles

    spot_img

    Related Stories