Een onlangs onthulde kwetsbaarheid voor server-side request forgery (SSRF) die gevolgen heeft voor Ivanti Connect Secure- en Policy Secure-producten, wordt massaal uitgebuit.
Stichting Shadowserver gezegd Het observeerde exploitatiepogingen afkomstig van onder meer meer dan 170 unieke IP-adressen die onder meer een omgekeerde schil tot doel hadden.
De aanvallen maken gebruik van CVE-2024-21893 (CVSS-score: 8,2), een SSRF-fout in de SAML-component van Ivanti Connect Secure, Policy Secure en Neurons for ZTA waarmee een aanvaller toegang kan krijgen tot anders beperkte bronnen zonder authenticatie.
Ivanti had eerder onthuld dat de kwetsbaarheid was misbruikt bij gerichte aanvallen gericht op een ‘beperkt aantal klanten’, maar waarschuwde dat de status quo na openbaarmaking zou kunnen veranderen.
Dat is precies wat er lijkt te zijn gebeurd, vooral na de release van een proof-of-concept (PoC) exploit door cyberbeveiligingsbedrijf Rapid7 vorige week.
De PoC omvat het ontwerpen van een exploitketen die CVE-2024-21893 combineert met CVE-2024-21887, een eerder gepatchte opdrachtinjectiefout, om niet-geverifieerde uitvoering van externe code te bewerkstelligen.
Het is vermeldenswaard dat CVE-2024-21893 een alias is voor CVE-2023-36661 (CVSS-score: 7,5), een SSRF-kwetsbaarheid die aanwezig is in de open-source Shibboleth XMLTooling-bibliotheek. Het werd in juni 2023 door de beheerders opgelost met de release van versie 3.2.4.
Beveiligingsonderzoeker Will Dormann verder wees op andere verouderde open-sourcecomponenten die worden gebruikt door Ivanti VPN-apparaten, zoals curl 7.19.7, openssl 1.0.2n-fips, perl 5.6.1, psql 9.6.14, cabextract 0.5, ssh 5.3p1 en pak 6.00 uit, waardoor de deur opengaat voor meer aanvallen.
De ontwikkeling komt omdat bedreigingsactoren een manier hebben gevonden om de aanvankelijke mitigatiemaatregelen van Ivanti te omzeilen, wat het in Utah gevestigde bedrijf ertoe aanzet een tweede mitigatiebestand vrij te geven. Vanaf 1 februari 2024 is het begonnen met het uitbrengen van officiële patches om alle kwetsbaarheden aan te pakken.
Vorige week onthulde Mandiant, eigendom van Google, dat verschillende bedreigingsactoren CVE-2023-46805 en CVE-2024-21887 gebruiken om een reeks aangepaste webshells in te zetten die worden gevolgd als BUSHWALK, CHAINLINE, FRAMESTING en LIGHTWIRE.
Palo Alto Networks Unit 42 zei dat het tussen 26 en 30 januari 2024 28.474 blootgestelde exemplaren van Ivanti Connect Secure en Policy Secure in 145 landen had waargenomen, terwijl op 23 januari 2024 610 gecompromitteerde exemplaren in 44 landen waren gedetecteerd.
