Yakın zamanda açıklanan sunucu tarafı istek sahteciliği (SSRF) Ivanti Connect Secure ve Policy Secure ürünlerini etkileyen güvenlik açığı kitlesel istismara maruz kaldı.
Shadowserver Vakfı söz konusu diğerlerinin yanı sıra ters kabuk oluşturmayı amaçlayan 170’den fazla benzersiz IP adresinden kaynaklanan istismar girişimlerini gözlemledi.
Saldırılar, Ivanti Connect Secure, Policy Secure ve Neurons for ZTA’nın SAML bileşenindeki bir SSRF kusuru olan CVE-2024-21893’ten (CVSS puanı: 8,2) yararlanıyor ve bir saldırganın kimlik doğrulama olmadan başka şekilde kısıtlanan kaynaklara erişmesine olanak tanıyor.
Ivanti daha önce bu güvenlik açığının “sınırlı sayıda müşteriye” yönelik hedefli saldırılarda kullanıldığını açıklamıştı ancak kamuya açıklandıktan sonra statükonun değişebileceği konusunda uyardı.
Özellikle de bundan sonra gerçekleşmiş gibi görünen şey bu. serbest bırakmak Geçen hafta siber güvenlik firması Rapid7’nin kavram kanıtını (PoC) istismar ettiği ortaya çıktı.
PoC, kimliği doğrulanmamış uzaktan kod yürütmeyi sağlamak için CVE-2024-21893’ü daha önce yamalı bir komut ekleme hatası olan CVE-2024-21887 ile birleştiren bir yararlanma zinciri oluşturmayı içerir.
Burada CVE-2024-21893’ün bir takma ad olduğunu belirtmekte fayda var. CVE-2023-36661 (CVSS puanı: 7,5), açık kaynaklı Shibboleth XMLTooling kitaplığında bulunan bir SSRF güvenlik açığı. Bu sorun, Haziran 2023’te geliştiriciler tarafından şu sürümün piyasaya sürülmesiyle düzeltildi: sürüm 3.2.4.
Güvenlik araştırmacısı Will Dormann daha öte Ivanti VPN cihazları tarafından kullanılan curl 7.19.7, openssl 1.0.2n-fips, perl 5.6.1, psql 9.6.14, cabextract 0.5, ssh 5.3p1 ve diğer güncel olmayan açık kaynaklı bileşenlere dikkat çekti. 6.00’ı açın, böylece daha fazla saldırı için kapıyı açın.
Bu gelişme, tehdit aktörlerinin Ivanti’nin ilk hafifletme yöntemini atlamanın bir yolunu bulması ve Utah merkezli şirketin ikinci bir hafifletme dosyası yayınlamasına yol açmasıyla ortaya çıktı. 1 Şubat 2024 itibarıyla tüm güvenlik açıklarını giderecek resmi yamalar yayınlamaya başladı.
Geçen hafta Google’ın sahibi olduğu Mandiant, birçok tehdit aktörünün BUSHWALK, CHAINLINE, FRAMESTING ve LIGHTWIRE olarak takip edilen bir dizi özel web kabuğunu dağıtmak için CVE-2023-46805 ve CVE-2024-21887’den yararlandığını ortaya çıkardı.
Palo Alto Ağları Birimi 42 söz konusu 26-30 Ocak 2024 tarihleri arasında 145 ülkede 28.474 Ivanti Connect Secure ve Policy Secure örneğinin açığa çıktığını gözlemledi; 23 Ocak 2024 itibarıyla 44 ülkede güvenliği ihlal edilmiş 610 örnek tespit edildi.