Uma vulnerabilidade recentemente divulgada de falsificação de solicitação do servidor (SSRF) que impacta os produtos Ivanti Connect Secure e Policy Secure tem sido amplamente explorada.
A Fundação Shadowserver afirmou ter observado tentativas de exploração originadas de mais de 170 endereços IP exclusivos que visam estabelecer um shell reverso, entre outros.
Os ataques exploram a
CVE-2024-21893
(pontuação CVSS: 8.2), uma falha SSRF no componente SAML do Ivanti Connect Secure, Policy Secure e Neurons for ZTA que permite a um invasor acessar recursos restritos sem autenticação.
A Ivanti já havia divulgado anteriormente que a vulnerabilidade havia sido explorada em ataques direcionados a "um número limitado de clientes", mas alertou que o status quo poderia mudar após a divulgação pública.
Isso é exatamente o que parece ter acontecido, especialmente após o lançamento de um exploit de prova de conceito (PoC) pela empresa de cibersegurança Rapid7 na semana passada.
O PoC envolve a criação de uma cadeia de exploração que combina a
CVE-2024-21893
com a CVE-2024-21887, uma falha de injeção de comando anteriormente corrigida, para alcançar a execução remota de código sem autenticação.
Vale ressaltar que a
CVE-2024-21893
é um sinônimo para a
CVE-2023-36661
(pontuação CVSS: 7.5), uma vulnerabilidade SSRF presente na biblioteca Shibboleth XMLTooling de código aberto.
Foi corrigida pelos mantenedores em junho de 2023 com o lançamento da versão 3.2.4.
O pesquisador de segurança Will Dormann ainda apontou outros componentes de código aberto desatualizados usados pelos aparelhos VPN da Ivanti, como curl 7.19.7, openssl 1.0.2n-fips, perl 5.6.1, psql 9.6.14, cabextract 0.5, ssh 5.3p1 e unzip 6.00, abrindo a porta para mais ataques.
Essa descoberta surge como atores de ameaças encontraram uma maneira de contornar a mitigação inicial da Ivanti, levando a empresa de Utah a liberar um segundo arquivo de mitigação.
A partir de 1 de fevereiro de 2024, começou a liberar patches oficiais para resolver todas as vulnerabilidades.
Na semana passada, a Mandiant, pertencente ao Google, revelou que vários atores de ameaças estão utilizando a CVE-2023-46805 e a CVE-2024-21887 para implantar uma gama de web shells personalizados, rastreados como BUSHWALK, CHAINLINE, FRAMESTING e LIGHTWIRE.
A Unit 42 da Palo Alto Networks disse ter observado 28.474 instâncias expostas do Ivanti Connect Secure e Policy Secure em 145 países entre 26 e 30 de janeiro de 2024, com 610 instâncias comprometidas detectadas em 44 países em 23 de janeiro de 2024.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...