Vulnerabilități SSRF în produsele Ivanti exploatate activ

Fundația Shadowserver a observat încercări de exploatare care provin de la mai mult de 170 de adrese IP unice.

Este exploatată vulnerabilitatea CVE-2024-21893 (scor CVSS: 8.2) care este de tip SSRF în componenta SAML a Ivanti Connect Secure, Policy Secure și Neurons for ZTA și poate permite unui atacator să acceseze resurse fără autentificare.

Ivanti a dezvăluit anterior că vulnerabilitatea a fost exploatată în atacuri împotriva unui „număr limitat de clienți”, dar a avertizat că situația ar putea să se schimbe după publicare.

O modalitate de exploatare de tip proof-of-concept lansată recent presupune crearea unui lanț de exploatare ce combină CVE-2024-21893 cu CVE-2024-21887. CVE-2024-21893 este un alias pentru CVE-2023-36661 (scor CVSS: 7.5), o vulnerabilitate SSRF prezentă în biblioteca XMLTooling open-source Shibboleth. A fost remediată în iunie 2023 odată cu lansarea versiunii 3.2.4.

Compania Mandiant, a observat că mai mulți atacatori utilizează CVE-2023-46805 și CVE-2024-21887 pentru a implementa multiple web shell-uri personalizate, urmărite sub numele de BUSHWALK, CHAINLINE, FRAMESTING și LIGHTWIRE.

Palo Alto Networks Unit 42 a observat 28,474 de instanțe expuse ale Ivanti Connect Secure și Policy Secure în 145 de țări între 26 și 30 ianuarie 2024 și 610 instanțe compromise în 44 de țări până la 23 ianuarie 2024.

Exploatarea continuă a vulnerabilităților Ivanti a determinat, de asemenea, Uniunea Europeană, alături de CERT-EU, ENISA și Europol, să emită un avertisment comun solicitând organizațiilor să urmeze ghidurile pentru a minimiza riscurile potențiale.

Sursa: https://thehackernews.com/2024/02/recently-disclosed-ssrf-flaw-in-ivanti.html