Una reciente vulnerabilidad de server-side request forgery (SSRF) descubierta en los productos Ivanti Connect Secure y Policy Secure ha desencadenado una ola de explotación masiva, poniendo en peligro la seguridad de miles de organizaciones en todo el mundo.
Según informes de la Fundación Shadowserver, más de 170 direcciones IP únicas han sido identificadas como origen de intentos de explotación, con el objetivo de establecer una shell inversa y acceder a recursos restringidos sin autenticación. Esta amenaza se aprovecha de la vulnerabilidad CVE-2024-21893, con una puntuación CVSS de 8.2, presente en el componente SAML de los productos mencionados anteriormente, así como en Neurons for ZTA.
Aunque Ivanti había reconocido previamente que la vulnerabilidad estaba siendo explotada en ataques dirigidos a un número limitado de clientes, la situación ha evolucionado tras su divulgación pública.
Esto se evidencia especialmente después de que la firma de ciberseguridad Rapid7 publicara una prueba de concepto (PoC) de un exploit la semana pasada, que combina la vulnerabilidad CVE-2024-21893 con la CVE-2024-21887 para lograr una ejecución remota de código sin necesidad de autenticación.
Es importante destacar que la vulnerabilidad CVE-2024-21893 es un alias de la CVE-2023-36661, una vulnerabilidad SSRF presente en la biblioteca open-source Shibboleth XMLTooling. Esta última fue corregida por los mantenedores en junio de 2023, sin embargo, Ivanti parece haber utilizado componentes open-source desactualizados en sus dispositivos VPN, lo que amplía la superficie de ataque.
En respuesta a la amenaza en evolución, Ivanti ha lanzado una segunda mitigación y ha comenzado a publicar parches oficiales para abordar todas las vulnerabilidades identificadas. Sin embargo, la situación sigue siendo preocupante, ya que los actores de amenazas han encontrado formas de eludir las medidas de mitigación iniciales.
La magnitud del problema se refleja en el descubrimiento de Mandiant, que ha identificado varios actores de amenazas aprovechando las vulnerabilidades CVE-2023-46805 y CVE-2024-21887 para implementar una variedad de web shells personalizados, como BUSHWALK, CHAINLINE, FRAMESTING y LIGHTWIRE.
Según Palo Alto Networks Unit 42, se han observado 28.474 instancias expuestas de Ivanti Connect Secure y Policy Secure en 145 países entre el 26 y el 30 de enero de 2024. De estas, 610 instancias comprometidas fueron detectadas en 44 países hasta el 23 de enero de 2024, lo que subraya la urgencia de abordar esta amenaza cibernética en aumento. A este respecto, la CISA (Cybersecurity and Infraestructure Security Agency) en un comunicado reciente, requiere dejar de utilizar el servicio de Ivanti, desconectando todas las instancias de Ivanti Connect Secure y Policy Secure si se utilizaban.
Más información:
- https://owasp.org/www-community/attacks/Server_Side_Request_Forgery
- https://twitter.com/Shadowserver/status/1754145361029960189
- https://attackerkb.com/topics/FGlK1TVnB2/cve-2024-21893/rapid7-analysis
- https://shibboleth.net/community/advisories/secadv_20230612.txt
- https://twitter.com/wdormann/status/1754505384138604778
- https://unit42.paloaltonetworks.com/threat-brief-ivanti-cve-2023-46805-cve-2024-21887/
- https://www.cisa.gov/news-events/directives/supplemental-direction-v1-ed-24-01-mitigate-ivanti-connect-secure-and-ivanti-policy-secure
Deja una respuesta