Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) divulgada recentemente, afetando os produtos Ivanti Connect Secure e Policy Secure, foi explorada em tamanho.
A Instalação Shadowserver disse observou tentativas de exploração originadas de mais de 170 endereços IP únicos que visam estabelecer um shell revirado, entre outros.
Os ataques exploram CVE-2024-21893 (pontuação CVSS: 8,2), uma nequice SSRF no componente SAML do Ivanti Connect Secure, Policy Secure e Neurons for ZTA que permite que um invasor acesse recursos de outra forma restritos sem autenticação.
Ivanti já havia divulgado que a vulnerabilidade havia sido explorada em ataques direcionados a um “número restringido de clientes”, mas alertou que o status quo poderia mudar em seguida a divulgação pública.
Isso é exatamente o que parece ter ocorrido, mormente em seguida o lançamento de uma exploração de prova de noção (PoC) pela empresa de segurança cibernética Rapid7 na semana passada.
A PoC envolve a geração de uma masmorra de exploração que combina CVE-2024-21893 com CVE-2024-21887, uma nequice de injeção de comando corrigida anteriormente, para obter realização remota de código não autenticado.
É importante notar cá que CVE-2024-21893 é um alias para CVE-2023-36661 (pontuação CVSS: 7,5), uma vulnerabilidade SSRF presente na livraria Shibboleth XMLTooling de código descerrado. Foi revisto pelos mantenedores em junho de 2023 com o lançamento da versão 3.2.4.
Pesquisador de segurança Will Dormann prosseguir apontou outros componentes de código descerrado desatualizados usados pelos dispositivos Ivanti VPN, uma vez que curl 7.19.7, openssl 1.0.2n-fips, perl 5.6.1, psql 9.6.14, cabextract 0.5, ssh 5.3p1 e descompacte 6.00, abrindo assim a porta para mais ataques.
O desenvolvimento ocorre no momento em que os atores da ameaço encontraram uma maneira de contornar a mitigação inicial da Ivanti, levando a empresa sediada em Utah a lançar um segundo registro de mitigação. A partir de 1º de fevereiro de 2024, começou a lançar patches oficiais para resolver todas as vulnerabilidades.
Na semana passada, a Mandiant, de propriedade do Google, revelou que vários agentes de ameaças estão aproveitando CVE-2023-46805 e CVE-2024-21887 para implantar uma série de web shells personalizados rastreados uma vez que BUSHWALK, CHAINLINE, FRAMESTING e LIGHTWIRE.
A Unidade 42 da Palo Cocuruto Networks disse ter observado 28.474 instâncias expostas do Ivanti Connect Secure e Policy Secure em 145 países entre 26 e 30 de janeiro de 2024, com 610 instâncias comprometidas detectadas em 44 países em 23 de janeiro de 2024.