Недавно обнаруженная уязвимость, связанная с подделкой запросов на стороне сервера (SSRF), влияющая на продукты Ivanti Connect Secure и Policy Secure, подверглась массовому использованию.
Фонд Shadowserver заявил, что обнаружил попытки использования, исходящие из более чем 170 уникальных IP-адресов, целью которых, среди прочего, является установка обратной оболочки.
В атаках используется CVE-2024-21893 (оценка CVSS: 8.2), ошибка SSRF в компоненте SAML Ivanti Connect Secure, Policy Secure и Neurons для ZTA, которая позволяет злоумышленнику получать доступ к ресурсам, ограниченным иным образом, без аутентификации.
Ранее Ivanti сообщала, что уязвимость использовалась в целевых атаках, нацеленных на "ограниченное число клиентов", но предупредила, что статус-кво может измениться после публичного раскрытия.
Похоже, что именно это и произошло, особенно после выпуска эксплойта proof-of-concept (PoC), разработанного фирмой по кибербезопасности Rapid7 на прошлой неделе.
PoC включает создание цепочки эксплойтов, которая объединяет CVE-2024-21893 с CVE-2024-21887, ранее исправленной ошибкой при внедрении команд, для обеспечения удаленного выполнения кода без проверки подлинности.
Здесь стоит отметить, что CVE-2024-21893 является псевдонимом для CVE-2023-36661 (оценка CVSS: 7.5), уязвимости SSRF, присутствующей в библиотеке Shibboleth XMLTooling с открытым исходным кодом. Она была исправлена разработчиками в июне 2023 года с выпуском версии 3.2.4.
Исследователь безопасности Уилл Дорманн далее указал на другие устаревшие компоненты с открытым исходным кодом, используемые устройствами Ivanti VPN, такие как curl 7.19.7, openssl 1.0.2n-fips, perl 5.6.1, psql 9.6.14, cabextract 0.5, ssh 5.3p1 и unzip 6.00, что открывает возможности для новых атак.
Разработка происходит из-за того, что злоумышленники нашли способ обойти первоначальное решение Ivanti по устранению неполадок, что побудило компанию из Юты выпустить второй файл по устранению неполадок. С 1 февраля 2024 года компания начала выпуск официальных исправлений для устранения всех уязвимостей.
На прошлой неделе компания Mandiant, принадлежащая Google, обнаружила, что несколько участников угрозы используют CVE-2023-46805 и CVE-2024-21887 для развертывания множества пользовательских веб-оболочек, отслеживаемых как BUSHWALK, CHAINLINE, FRAMESTING и LIGHTWIRE.
Подразделение Palo Alto Networks 42 заявило, что в период с 26 по 30 января 2024 года оно обнаружило 28 474 взломанных экземпляра Ivanti Connect Secure и Policy Secure в 145 странах, при этом по состоянию на 23 января 2024 года в 44 странах было обнаружено 610 взломанных экземпляров.
Продолжающаяся эксплуатация недостатков Ivanti также побудила Европейский союз, наряду с CERT-EU, ENISA и Европолом, выпустить совместную рекомендацию, призывающую организации в блоке следовать рекомендациям, предоставленным поставщиком, для снижения потенциальных рисков.
Фонд Shadowserver заявил, что обнаружил попытки использования, исходящие из более чем 170 уникальных IP-адресов, целью которых, среди прочего, является установка обратной оболочки.
В атаках используется CVE-2024-21893 (оценка CVSS: 8.2), ошибка SSRF в компоненте SAML Ivanti Connect Secure, Policy Secure и Neurons для ZTA, которая позволяет злоумышленнику получать доступ к ресурсам, ограниченным иным образом, без аутентификации.
Ранее Ivanti сообщала, что уязвимость использовалась в целевых атаках, нацеленных на "ограниченное число клиентов", но предупредила, что статус-кво может измениться после публичного раскрытия.
Похоже, что именно это и произошло, особенно после выпуска эксплойта proof-of-concept (PoC), разработанного фирмой по кибербезопасности Rapid7 на прошлой неделе.
PoC включает создание цепочки эксплойтов, которая объединяет CVE-2024-21893 с CVE-2024-21887, ранее исправленной ошибкой при внедрении команд, для обеспечения удаленного выполнения кода без проверки подлинности.
Здесь стоит отметить, что CVE-2024-21893 является псевдонимом для CVE-2023-36661 (оценка CVSS: 7.5), уязвимости SSRF, присутствующей в библиотеке Shibboleth XMLTooling с открытым исходным кодом. Она была исправлена разработчиками в июне 2023 года с выпуском версии 3.2.4.
Исследователь безопасности Уилл Дорманн далее указал на другие устаревшие компоненты с открытым исходным кодом, используемые устройствами Ivanti VPN, такие как curl 7.19.7, openssl 1.0.2n-fips, perl 5.6.1, psql 9.6.14, cabextract 0.5, ssh 5.3p1 и unzip 6.00, что открывает возможности для новых атак.
Разработка происходит из-за того, что злоумышленники нашли способ обойти первоначальное решение Ivanti по устранению неполадок, что побудило компанию из Юты выпустить второй файл по устранению неполадок. С 1 февраля 2024 года компания начала выпуск официальных исправлений для устранения всех уязвимостей.
На прошлой неделе компания Mandiant, принадлежащая Google, обнаружила, что несколько участников угрозы используют CVE-2023-46805 и CVE-2024-21887 для развертывания множества пользовательских веб-оболочек, отслеживаемых как BUSHWALK, CHAINLINE, FRAMESTING и LIGHTWIRE.
Подразделение Palo Alto Networks 42 заявило, что в период с 26 по 30 января 2024 года оно обнаружило 28 474 взломанных экземпляра Ivanti Connect Secure и Policy Secure в 145 странах, при этом по состоянию на 23 января 2024 года в 44 странах было обнаружено 610 взломанных экземпляров.
Продолжающаяся эксплуатация недостатков Ivanti также побудила Европейский союз, наряду с CERT-EU, ENISA и Европолом, выпустить совместную рекомендацию, призывающую организации в блоке следовать рекомендациям, предоставленным поставщиком, для снижения потенциальных рисков.
