Uma vulnerabilidade recentemente divulgada de falsificação de solicitação do servidor (SSRF) que impacta os produtos Ivanti Connect Secure e Policy Secure tem sido amplamente explorada.
A Fundação Shadowserver afirmou ter observado tentativas de exploração originadas de mais de 170 endereços IP exclusivos que visam estabelecer um shell reverso, entre outros.
Os ataques exploram a
CVE-2024-21893
(pontuação CVSS: 8.2), uma falha SSRF no componente SAML do Ivanti Connect Secure, Policy Secure e Neurons for ZTA que permite a um invasor acessar recursos restritos sem autenticação.
A Ivanti já havia divulgado anteriormente que a vulnerabilidade havia sido explorada em ataques direcionados a "um número limitado de clientes", mas alertou que o status quo poderia mudar após a divulgação pública.
Isso é exatamente o que parece ter acontecido, especialmente após o lançamento de um exploit de prova de conceito (PoC) pela empresa de cibersegurança Rapid7 na semana passada.
O PoC envolve a criação de uma cadeia de exploração que combina a
CVE-2024-21893
com a CVE-2024-21887, uma falha de injeção de comando anteriormente corrigida, para alcançar a execução remota de código sem autenticação.
Vale ressaltar que a
CVE-2024-21893
é um sinônimo para a
CVE-2023-36661
(pontuação CVSS: 7.5), uma vulnerabilidade SSRF presente na biblioteca Shibboleth XMLTooling de código aberto.
Foi corrigida pelos mantenedores em junho de 2023 com o lançamento da versão 3.2.4.
O pesquisador de segurança Will Dormann ainda apontou outros componentes de código aberto desatualizados usados pelos aparelhos VPN da Ivanti, como curl 7.19.7, openssl 1.0.2n-fips, perl 5.6.1, psql 9.6.14, cabextract 0.5, ssh 5.3p1 e unzip 6.00, abrindo a porta para mais ataques.
Essa descoberta surge como atores de ameaças encontraram uma maneira de contornar a mitigação inicial da Ivanti, levando a empresa de Utah a liberar um segundo arquivo de mitigação.
A partir de 1 de fevereiro de 2024, começou a liberar patches oficiais para resolver todas as vulnerabilidades.
Na semana passada, a Mandiant, pertencente ao Google, revelou que vários atores de ameaças estão utilizando a CVE-2023-46805 e a CVE-2024-21887 para implantar uma gama de web shells personalizados, rastreados como BUSHWALK, CHAINLINE, FRAMESTING e LIGHTWIRE.
A Unit 42 da Palo Alto Networks disse ter observado 28.474 instâncias expostas do Ivanti Connect Secure e Policy Secure em 145 países entre 26 e 30 de janeiro de 2024, com 610 instâncias comprometidas detectadas em 44 países em 23 de janeiro de 2024.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...