Ivanti Connect Secure VPN ağ geçitlerini ve Policy Secure’u (bir ağ erişim kontrolü çözümü) etkileyen, sunucu tarafı istek sahteciliği (SSRF) güvenlik açığı olan CVE-2024-21893, saldırganlar tarafından istismar ediliyor.
CVE-2024-21893 Hakkında
CVE-2024-21893, saldırganların kimlik doğrulama gereksinimlerini atlamasına ve güvenlik açığı bulunan çözümlerdeki belirli kısıtlı kaynaklara erişmesine olanak tanır.
Aşağıdakilerin SAML bileşenini etkiler:
- Ivanti Connect Güvenli (9.x, 22.x)
- Ivanti Politikası Güvenli (9.x, 22.x)
- ZTA için Ivanti Neurons (SaaS tarafından sağlanan sıfır güven ağ erişim çözümü)
Aynı Ivanti Connect Secure ve Policy Secure sürümlerini etkileyen bir ayrıcalık yükseltme güvenlik açığı olan CVE-2024-21888’in varlığıyla birlikte bu güvenlik açığının varlığı, Ocak ayının sonlarında Ivanti tarafından ortaya çıkarıldı.
Ivanti ve Mandiant’a göre, CVE-2024-21893 aslında Ivanti’nin CVE-2023-46805’e yönelik orijinal azaltma yöntemini atlayan yeni bir tekniktir; bu, saldırganlar tarafından CVE-2024-21887 (bir komut) ile birlikte kullanılan başka bir kimlik doğrulama atlama hatasıdır. uzaktan kod yürütülmesine izin verebilecek enjeksiyon güvenlik açığı).
CVE-2024-21893’ten yararlanıldı
2 Şubat’ta Rapid7, CVE-2024-21893’ün teknik analizini ve kimliği doğrulanmamış RCE için nasıl tetiklenip CVE-2024-21887’ye zincirlenebileceğini yayınladı.
Birkaç gün sonra Shadowserver Vakfı, Rapid7’nin analizi halka açık hale getirmesinden önce ve özellikle sonrasında CVE-2024-21893’ü kullanma girişimlerini gözlemlediklerini söyledi.
“Bugüne kadar 170’in üzerinde saldıran IP [have been] Shadowserver, saldırganların çeşitli kontroller gerçekleştirmeye ve savunmasız cihazlarda ters kabuk oluşturmaya çalıştığını belirtti.
Çok sayıda Ivanti sıfır gün saldırı altında
Ivanti ve Connect Secure VPN ağ geçitlerini kullanan kuruluşlar için kötü bir ay oldu.
İlk olarak CVE-2023-46805 ve CVE-2024-21887 istismar ediliyordu ve Ivanti’nin sunabileceği yalnızca geçici bir hafifletme vardı ve ABD Siber Güvenlik ve Altyapı Ajansı’nı (CISA), ABD federal kurumlarına “Ivanti Connect Secure ve tüm örneklerinin bağlantısını kesme” emri vermeye zorladı. Ivanti Politikası 2 Şubat 2024’e kadar acente ağlarından güvenli çözüm ürünleri.
Bu saldırıları, CVE-2024-21893 ve CVE-2024-21888’i kullanan son saldırılar izledi.
Dört güvenlik açığının tümü o zamandan beri Ivanti tarafından düzeltildi.