Ivanti Connect Secure ve Policy Secure ürünlerini etkileyen, yakın zamanda açıklanan sunucu tarafı istek sahteciliği (SSRF) güvenlik açığı, kitlesel istismara uğradı.
Shadowserver Vakfı söz konusu diğerlerinin yanı sıra ters kabuk oluşturmayı amaçlayan 170’den fazla benzersiz IP adresinden kaynaklanan istismar girişimlerini gözlemledi.
Saldırılar, Ivanti Connect Secure, Policy Secure ve Neurons for ZTA’nın SAML bileşenindeki bir SSRF kusuru olan CVE-2024-21893’ten (CVSS puanı: 8,2) yararlanıyor ve bir saldırganın kimlik doğrulama olmadan başka şekilde kısıtlanan kaynaklara erişmesine olanak tanıyor.
Ivanti daha önce bu güvenlik açığının “sınırlı sayıda müşteriye” yönelik hedefli saldırılarda kullanıldığını açıklamıştı ancak kamuya açıklandıktan sonra statükonun değişebileceği konusunda uyardı.
Özellikle geçen hafta siber güvenlik firması Rapid7 tarafından bir kavram kanıtlama (PoC) istismarının yayınlanmasının ardından tam olarak böyle olmuş gibi görünüyor.
PoC, kimliği doğrulanmamış uzaktan kod yürütmeyi sağlamak için CVE-2024-21893’ü daha önce yamalı bir komut ekleme hatası olan CVE-2024-21887 ile birleştiren bir yararlanma zinciri oluşturmayı içerir.
Burada CVE-2024-21893’ün, açık kaynaklı Shibboleth XMLTooling kitaplığında bulunan bir SSRF güvenlik açığı olan CVE-2023-36661’in (CVSS puanı: 7,5) takma adı olduğunu belirtmekte fayda var. Bu sorun, Haziran 2023’te 3.2.4 sürümünün yayımlanmasıyla bakımcılar tarafından düzeltildi.
Güvenlik araştırmacısı Will Dormann daha öte Ivanti VPN cihazları tarafından kullanılan curl 7.19.7, openssl 1.0.2n-fips, perl 5.6.1, psql 9.6.14, cabextract 0.5, ssh 5.3p1 ve diğer güncel olmayan açık kaynaklı bileşenlere dikkat çekti. 6.00’ı açın, böylece daha fazla saldırı için kapıyı açın.
Bu gelişme, tehdit aktörlerinin Ivanti’nin ilk hafifletme yöntemini atlamanın bir yolunu bulması ve Utah merkezli şirketin ikinci bir hafifletme dosyası yayınlamasına yol açmasıyla ortaya çıktı. 1 Şubat 2024 itibarıyla tüm güvenlik açıklarını giderecek resmi yamalar yayınlamaya başladı.
Geçen hafta Google’ın sahibi olduğu Mandiant, birçok tehdit aktörünün BUSHWALK, CHAINLINE, FRAMESTING ve LIGHTWIRE olarak takip edilen bir dizi özel web kabuğunu dağıtmak için CVE-2023-46805 ve CVE-2024-21887’den yararlandığını ortaya çıkardı.
Palo Alto Networks Birim 42, 26-30 Ocak 2024 tarihleri arasında 145 ülkede 28.474 Ivanti Connect Secure ve Policy Secure örneğinin gözlemlendiğini ve 23 Ocak 2024 itibarıyla 44 ülkede 610 güvenliği ihlal edilmiş örneğin tespit edildiğini söyledi.