Falha Recente SSRF nos Produtos VPN da Ivanti Passa por Exploração em Massa
6 de Fevereiro de 2024

Uma vulnerabilidade recentemente divulgada de falsificação de solicitação do servidor (SSRF) que impacta os produtos Ivanti Connect Secure e Policy Secure tem sido amplamente explorada.

A Fundação Shadowserver afirmou ter observado tentativas de exploração originadas de mais de 170 endereços IP exclusivos que visam estabelecer um shell reverso, entre outros.

Os ataques exploram a CVE-2024-21893 (pontuação CVSS: 8.2), uma falha SSRF no componente SAML do Ivanti Connect Secure, Policy Secure e Neurons for ZTA que permite a um invasor acessar recursos restritos sem autenticação.

A Ivanti já havia divulgado anteriormente que a vulnerabilidade havia sido explorada em ataques direcionados a "um número limitado de clientes", mas alertou que o status quo poderia mudar após a divulgação pública.

Isso é exatamente o que parece ter acontecido, especialmente após o lançamento de um exploit de prova de conceito (PoC) pela empresa de cibersegurança Rapid7 na semana passada.

O PoC envolve a criação de uma cadeia de exploração que combina a CVE-2024-21893 com a CVE-2024-21887, uma falha de injeção de comando anteriormente corrigida, para alcançar a execução remota de código sem autenticação.

Vale ressaltar que a CVE-2024-21893 é um sinônimo para a CVE-2023-36661 (pontuação CVSS: 7.5), uma vulnerabilidade SSRF presente na biblioteca Shibboleth XMLTooling de código aberto.

Foi corrigida pelos mantenedores em junho de 2023 com o lançamento da versão 3.2.4.

O pesquisador de segurança Will Dormann ainda apontou outros componentes de código aberto desatualizados usados pelos aparelhos VPN da Ivanti, como curl 7.19.7, openssl 1.0.2n-fips, perl 5.6.1, psql 9.6.14, cabextract 0.5, ssh 5.3p1 e unzip 6.00, abrindo a porta para mais ataques.

Essa descoberta surge como atores de ameaças encontraram uma maneira de contornar a mitigação inicial da Ivanti, levando a empresa de Utah a liberar um segundo arquivo de mitigação.

A partir de 1 de fevereiro de 2024, começou a liberar patches oficiais para resolver todas as vulnerabilidades.

Na semana passada, a Mandiant, pertencente ao Google, revelou que vários atores de ameaças estão utilizando a CVE-2023-46805 e a CVE-2024-21887 para implantar uma gama de web shells personalizados, rastreados como BUSHWALK, CHAINLINE, FRAMESTING e LIGHTWIRE.

A Unit 42 da Palo Alto Networks disse ter observado 28.474 instâncias expostas do Ivanti Connect Secure e Policy Secure em 145 países entre 26 e 30 de janeiro de 2024, com 610 instâncias comprometidas detectadas em 44 países em 23 de janeiro de 2024.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...