Một lỗ hổng giả mạo yêu cầu phía máy chủ (SSRF) được tiết lộ gần đây ảnh hưởng đến các sản phẩm Ivanti Connect Secure và Policy Secure đã bị khai thác hàng loạt.
Tổ chức Shadowserver cho biết họ đã quan sát thấy các nỗ lực khai thác có nguồn gốc từ hơn 170 địa chỉ IP duy nhất nhằm mục đích thiết lập một lớp vỏ ngược, trong số những địa chỉ khác.
Các cuộc tấn công khai thác CVE-2024-21893 (điểm CVSS: 8.2), một lỗ hổng SSRF trong thành phần SAML của Ivanti Connect Secure, Policy Secure và Neurons cho ZTA cho phép kẻ tấn công truy cập các tài nguyên bị hạn chế khác mà không cần xác thực.
Ivanti trước đây đã tiết lộ rằng lỗ hổng đã được khai thác trong các cuộc tấn công có chủ đích nhằm vào "số lượng khách hàng hạn chế", nhưng cảnh báo hiện trạng có thể thay đổi sau khi tiết lộ công khai.
Đó chính xác là những gì dường như đã xảy ra, đặc biệt là sau khi phát hành khai thác bằng chứng khái niệm (PoC) của công ty an ninh mạng Rapid7 vào tuần trước.
PoC liên quan đến việc tạo ra một chuỗi khai thác kết hợp CVE-2024-21893 với CVE-2024-21887, một lỗ hổng tiêm lệnh đã được vá trước đó, để đạt được việc thực thi mã từ xa chưa được xác thực.
Điều đáng chú ý ở đây là CVE-2024-21893 là bí danh của CVE-2023-36661 (điểm CVSS: 7.5), một lỗ hổng SSRF có trong thư viện mã nguồn mở Shibboleth XMLTooling. Nó đã được các nhà bảo trì sửa chữa vào tháng 6 năm 2023 với việc phát hành phiên bản 3.2.4.
Nhà nghiên cứu bảo mật Will Dormann tiếp tục chỉ ra các thành phần mã nguồn mở lỗi thời khác được sử dụng bởi các thiết bị Ivanti VPN, chẳng hạn như curl 7.19.7, openssl 1.0.2n-fips, perl 5.6.1, psql 9.6.14, cabextract 0.5, ssh 5.3p1 và giải nén 6.00, do đó mở ra cánh cửa cho nhiều cuộc tấn công hơn.
Sự phát triển này diễn ra khi các tác nhân đe dọa đã tìm ra cách vượt qua biện pháp giảm thiểu ban đầu của Ivanti, khiến công ty có trụ sở tại Utah phát hành hồ sơ giảm thiểu thứ hai. Kể từ ngày 1 tháng 2 năm 2024, nó đã bắt đầu phát hành các bản vá chính thức để giải quyết tất cả các lỗ hổng.
Tuần trước, Mandiant thuộc sở hữu của Google tiết lộ rằng một số tác nhân đe dọa đang tận dụng CVE-2023-46805 và CVE-2024-21887 để triển khai một loạt các web shell tùy chỉnh được theo dõi như BUSHWALK, CHAINLINE, FRAMESTING và LIGHTWIRE.
Đơn vị 42 của Palo Alto Networks cho biết họ đã quan sát thấy 28.474 trường hợp bị lộ của Ivanti Connect Secure và Policy Secure ở 145 quốc gia từ ngày 26 đến ngày 30 tháng 1 năm 2024, với 610 trường hợp bị xâm nhập được phát hiện ở 44 quốc gia tính đến ngày 23 tháng 1 năm 2024.
Việc khai thác liên tục các lỗ hổng của Ivanti cũng đã khiến Liên minh châu Âu, cùng với CERT-EU, ENISA và Europol, đưa ra một lời khuyên chung kêu gọi các tổ chức trong khối tuân theo hướng dẫn do nhà cung cấp cung cấp để giảm thiểu rủi ro tiềm ẩn.