Nieuw Ivanti Connect Secure- en Policy Secure-lek massaal uitgebuit
Aanvallers buiten een server-side request forgery (SSRF) in Ivanti Connect Secure- en Ivanti Policy Secure-appliances op grote schaal uit. Met behulp van het lek kunnen kwaadwillenden authentificatie omzeilen.
Het gaat om CVE-2024-21893, een lek waarvoor Ivanti op 31 januari 2024 voor het eerst waarschuwde en versie 9.x en 22.x van de oplossingen treft. Het gaat om een zeroday-lek, waarvan het bestaan tot nu toe niet bekend was. Een beperkt aantal klanten van Ivanti zou al via het lek zijn aangevallen.
Op grote schaal uitgebuit
Threat monitoring-dienst Shadowserver waarschuwt dat kwaadwillenden de SRFF-bug inmiddels op grote schaal uitbuiten. Het meldt inmiddels meer dan 170 IP-adressen te hebben geïdentificeerd waarmee aanvallen worden uitgevoerd. Ook blijkt uit cijfers van het bedrijf dat dit nieuwe lek inmiddels aanzienlijk meer wordt uitgebuit dan de andere kwetsbaarheden die recentelijk in Ivanti Connect Secure en Ivanti Policy Secure opdoken. De focus van de aanvallers lijkt dan ook verschoven naar CVE-2024-21893.
We observed CVE-2024-21893 exploitation using '/dana-na/auth/saml-logout.cgi' on Feb 2nd hours before @Rapid7 posting & unsurprisingly lots to '/dana-ws/saml20.ws' after publication. This includes reverse shell attempts & other checks. To date, over 170 attacking IPs involved https://t.co/yUy4y2xCCz
— Shadowserver (@Shadowserver) February 4, 2024
Beveiligingsbedrijf Rapid7 bracht op 2 februari een proof of concept-exploit uit. Shadowserver wijst erop dat aanvallers voor deze publicatie al vergelijkbare methoden gebruikten voor het uitbuiten van de kwetsbaarheid. De publicatie van de proof of concept-code zou dan ook geen grote bijdrage hebben geleverd aan de hoeveelheid aanvallen waarbij het lek wordt uitgebuit.
We observed CVE-2024-21893 exploitation using '/dana-na/auth/saml-logout.cgi' on Feb 2nd hours before @Rapid7 posting & unsurprisingly lots to '/dana-ws/saml20.ws' after publication. This includes reverse shell attempts & other checks. To date, over 170 attacking IPs involved https://t.co/yUy4y2xCCz
— Shadowserver (@Shadowserver) February 4, 2024