CVE-2024-21893: Ivanti Vulnerability 2024 Explained
Η ευπάθεια Ivanti 2024, που προσδιορίζεται ως CVE-2024-21893 και επηρεάζει το Ivanti Connect Secure και το Ivanti Policy Secure, αντιμετωπίζει επί του παρόντος ευρεία εκμετάλλευση από πολλούς αντιπάλους λόγω ενός ελαττώματος πλαστογράφησης αιτημάτων από την πλευρά του διακομιστή (
SSRF
).
CVE-2024-21893: Λεπτομέρειες για την ευπάθεια Ivanti 2024
Στις 31 Ιανουαρίου 2024, η Ivanti εξέδωσε αρχικά ειδοποιήσεις σχετικά με αυτήν την ευπάθεια στα στοιχεία SAML της πύλης, χαρακτηρίζοντάς την ως μηδενική ημέρα λόγω της ενεργού, αν και περιορισμένης, εκμετάλλευσής της που επηρεάζει λίγους πελάτες. Η παραβίαση του CVE-2024-21893 επιτρέπει στους δράστες να παρακάμψουν τα μέτρα ελέγχου ταυτότητας και να αποκτήσουν πρόσβαση σε απαγορευμένες περιοχές στα επηρεαζόμενα μοντέλα (εκδόσεις 9.x και 22.x).
Ο Shadowserver, μια οντότητα παρακολούθησης απειλών, αναφέρει ότι παρατηρεί αύξηση των προσπαθειών εκμετάλλευσης, με 170 μοναδικές διευθύνσεις IP που στοχεύουν την ευπάθεια Ivanti 2024.
We observed CVE-2024-21893 exploitation using ‘/dana-na/auth/saml-logout.cgi’ on Feb 2nd hours before
@Rapid7
posting & unsurprisingly lots to ‘/dana-ws/saml20.ws’ after publication. This includes reverse shell attempts &
other
checks. To date, over 170 attacking IPs involved
https://t.co/yUy4y2xCCz
— Shadowserver (@Shadowserver)
February 4, 2024
Η συχνότητα και η ένταση αυτών των επιθέσεων στο CVE-2024-21893 ξεπερνούν αυτές που παρατηρήθηκαν με άλλα τρωτά σημεία του Ivanti που έχουν πρόσφατα αντιμετωπιστεί ή μετριαστεί, υπογραμμίζοντας μια σημαντική στροφή στη στρατηγική επιτιθέμενων.
Εικόνα
:
Κερέμ Γκιουλέν/Μέσα ταξίδι
)
Η διάδοση ενός proof-of-concept (PoC) εκμετάλλευση από
ερευνητές στο Rapid7
στις 2 Φεβρουαρίου 2024, πιθανότατα διευκόλυνε αυτές τις επιθέσεις. Ωστόσο, τα ευρήματα του Shadowserver υποδηλώνουν ότι οι επιτιθέμενοι χρησιμοποιούσαν συγκρίσιμες τακτικές για να εκμεταλλευτούν την ευπάθεια Ivanti 2024 ώρες πριν δημοσιοποιηθούν τα ευρήματα του Rapid7, υποδεικνύοντας ότι οι επιτιθέμενοι είχαν κατακτήσει προληπτικά την
τέχνη
της εκμετάλλευσης του CVE-2024-21893 για να αποκτήσουν απεριόριστη πρόσβαση, χωρίς περιορισμούς, καταληκτικά σημεία.
Η ανάλυση του ShadowServer αποκαλύπτει ότι περίπου 22.500 συσκευές Ivanti Connect Secure είναι επί του παρόντος προσβάσιμες στο διαδίκτυο, αν και ο ακριβής αριθμός ευάλωτων σε αυτό το συγκεκριμένο ελάττωμα παραμένει αβέβαιος.
Ένα περίπλοκο δίλημμα ασφαλείας ξεδιπλώθηκε με την αποκάλυψη του CVE-2024-21893, που συμπίπτει με την έκδοση ενημερώσεων κώδικα ασφαλείας που αντιμετωπίζουν δύο επιπλέον ευπάθειες μηδενικής ημέρας που επηρεάζουν τα ίδια προϊόντα Ivanti: CVE-2023-46805 και CVE-2024-21887 αρχικά, από τον Ivanti στις 10 Ιανουαρίου 2024. Ο Ivanti μοιράστηκε αμέσως προσωρινά αντίμετρα μετά την ανακάλυψή τους. Αυτά τα τρωτά σημεία έχουν εκμεταλλευτεί η κινεζική οντότητα κατασκοπείας γνωστή ως UTA0178/UNC5221, χρησιμοποιώντας τα για την εμφύτευση ιστών και κερκόπορτων σε παραβιασμένα συστήματα. Το ύψος αυτής της προσπάθειας διείσδυσης είδε περίπου 1.700 συσκευές να επηρεαστούν στα μέσα Ιανουαρίου.
Κερέμ Γκιουλέν/Μέσα ταξίδι
)
Παρά τις πρώιμες προσπάθειες παρέμβασης του Ivanti, οι αντίπαλοι περιηγήθηκαν με επιτυχία γύρω από αυτές τις αρχικές διασφαλίσεις, ακόμη και παραβιάζοντας τα αρχεία διαμόρφωσης των συσκευών. Αυτό οδήγησε την Ivanti να καθυστερήσει την ανάπτυξη των ενημερώσεων υλικολογισμικού της, που αρχικά είχαν προγραμματιστεί για τις 22 Ιανουαρίου, για να αντιμετωπίσει αποτελεσματικά αυτήν την προηγμένη απειλή.
Ivanti Policy Secure συσκευές VPN επηρεάζονται
Εν μέσω της συνεχιζόμενης εκμετάλλευσης αυτών των σοβαρών τρωτών σημείων μηδενικής ημέρας, που επιδεινώνεται από την απουσία ισχυρών αντίμετρων και ενημερώσεων για ορισμένες εκδόσεις των επηρεαζόμενων προϊόντων, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) έδωσε εντολή στις ομοσπονδιακές υπηρεσίες να διακόψουν τις συνδέσεις με όλη την
πολιτική
Ivanti Επηρεάζονται ασφαλείς συσκευές VPN. Η επανασύνδεση επιτρέπεται μόνο για συσκευές που έχουν υποστεί επαναφορά εργοστασιακών ρυθμίσεων και έχουν ενημερωθεί στην πιο πρόσφατη έκδοση υλικολογισμικού. Ωστόσο, οι παλαιότερες εκδόσεις που παραμένουν ευαίσθητες συνεχίζουν να μην έχουν διορθωτική ενημέρωση.
Όλα όσα πρέπει να γνωρίζετε για τον διακανονισμό παραβίασης δεδομένων Equifax
Αυτή η οδηγία συνιστάται επίσης για οντότητες του ιδιωτικού τομέα, αν και η συμμόρφωση δεν είναι υποχρεωτική. Ως εκ τούτου, οι οργανισμοί καλούνται να αξιολογήσουν σχολαστικά τη στάση ασφαλείας των λύσεών τους Ivanti και τη συνολική αξιοπιστία των περιβαλλόντων δικτύου τους.
Τα τρωτά σημεία όπως το CVE-2024-21893 εκθέτουν τις περίπλοκες προκλήσεις που αντιμετωπίζουν οι οργανισμοί όσον αφορά την προστασία των ψηφιακών υποδομών. Η ευρεία εκμετάλλευση της ευπάθειας Ivanti 2024 υπογραμμίζει την κρίσιμη σημασία των γρήγορων, προληπτικών μέτρων για την επιδιόρθωση των γνωστών κενών ασφαλείας και την ενίσχυση της άμυνας. Είναι μια έντονη υπενθύμιση για τις οντότητες σε όλους τους τομείς να παραμείνουν σε επαγρύπνηση, να παρακολουθούν συνεχώς τα συστήματά τους για ασυνήθιστες δραστηριότητες και να τηρούν τις βέλτιστες πρακτικές υγιεινής στον τομέα της κυβερνοασφάλειας. Καθώς οι αντίπαλοι εξελίσσονται σε επίπεδο πολυπλοκότητας, το ίδιο πρέπει να κάνουν και οι στρατηγικές μας για την άμυνα, διασφαλίζοντας την ακεραιότητα και την ανθεκτικότητα των ψηφιακών μας οικοσυστημάτων έναντι της διαρκώς παρούσας απειλής της εκμετάλλευσης στον κυβερνοχώρο.
Πίστωση επιλεγμένης εικόνας:
Κερέμ Γκιουλέν/Μέσα ταξίδι
VIA:
DataConomy.com
