Una falsificación de solicitud del lado del servidor recientemente revelada (SSRF) la vulnerabilidad que afecta a los productos Ivanti Connect Secure y Policy Secure ha sido objeto de explotación masiva.
La Fundación Shadowserver dicho observó intentos de explotación provenientes de más de 170 direcciones IP únicas que tienen como objetivo establecer un shell inverso, entre otros.
Los ataques explotan CVE-2024-21893 (puntuación CVSS: 8,2), una falla SSRF en el componente SAML de Ivanti Connect Secure, Policy Secure y Neurons for ZTA que permite a un atacante acceder a recursos que de otro modo estarían restringidos sin autenticación.
Ivanti había divulgado previamente que la vulnerabilidad había sido explotada en ataques dirigidos a un «número limitado de clientes», pero advirtió que el status quo podría cambiar después de la divulgación pública.
Eso es exactamente lo que parece haber sucedido, especialmente después de la liberar de un exploit de prueba de concepto (PoC) realizado por la empresa de ciberseguridad Rapid7 la semana pasada.
La PoC implica diseñar una cadena de exploits que combina CVE-2024-21893 con CVE-2024-21887, un defecto de inyección de comandos previamente parcheado, para lograr la ejecución remota de código no autenticado.
Vale la pena señalar aquí que CVE-2024-21893 es un alias para CVE-2023-36661 (Puntuación CVSS: 7,5), una vulnerabilidad SSRF presente en la biblioteca de código abierto Shibboleth XMLTooling. Los mantenedores lo solucionaron en junio de 2023 con el lanzamiento de versión 3.2.4.
El investigador de seguridad Will Dormann más señaló otros componentes de código abierto obsoletos utilizados por los dispositivos VPN de Ivanti, como curl 7.19.7, openssl 1.0.2n-fips, perl 5.6.1, psql 9.6.14, cabextract 0.5, ssh 5.3p1 y descomprimir 6.00, abriendo así la puerta a más ataques.
El desarrollo se produce cuando los actores de amenazas encontraron una manera de eludir la mitigación inicial de Ivanti, lo que llevó a la compañía con sede en Utah a publicar un segundo archivo de mitigación. A partir del 1 de febrero de 2024, comenzó a lanzar parches oficiales para abordar todas las vulnerabilidades.
La semana pasada, Mandiant, propiedad de Google, reveló que varios actores de amenazas están aprovechando CVE-2023-46805 y CVE-2024-21887 para implementar una serie de shells web personalizados rastreados como BUSHWALK, CHAINLINE, FRAMESTING y LIGHTWIRE.
Unidad 42 de Palo Alto Networks dicho observó 28,474 instancias expuestas de Ivanti Connect Secure y Policy Secure en 145 países entre el 26 y el 30 de enero de 2024, con 610 instancias comprometidas detectadas en 44 países al 23 de enero de 2024.