Eine kürzlich aufgedeckte serverseitige Anfragenfälschung (Server Side Request Forgery, SSRF) Sicherheitslücke in den Produkten Ivanti Connect Secure und Policy Secure wird massiv ausgenutzt. Die Shadowserver Foundation hat beobachtet, dass Angriffsversuche von über 170 eindeutigen IP-Adressen ausgehen und unter anderem eine Reverse-Shell herstellen. Die Angriffe nutzen CVE-2024-21893 (CVSS-Score: 8.2) aus, eine SSRF-Schwachstelle in der SAML-Komponente von Ivanti Connect Secure, Policy Secure und Neurons for ZTA, die es einem Angreifer ermöglicht, auf anderweitig eingeschränkte Ressourcen ohne Authentifizierung zuzugreifen. Ivanti hatte zuvor bekannt gegeben, dass die Sicherheitslücke in gezielten Angriffen gegen eine „begrenzte Anzahl von Kunden“ ausgenutzt wurde, warnte jedoch, dass sich dieser Status nach der Veröffentlichung ändern könnte.
Genau das scheint passiert zu sein, insbesondere nach der Veröffentlichung eines Proof-of-Concept (PoC) Exploits durch das Cybersicherheitsunternehmen Rapid7 in der letzten Woche. Der PoC kombiniert CVE-2024-21893 mit CVE-2024-21887, einer zuvor behobenen Befehlsschwachstelle, um eine nicht authentifizierte Remote-Code-Ausführung zu erreichen. Es ist erwähnenswert, dass CVE-2024-21893 eine Alias-Bezeichnung für CVE-2023-36661 (CVSS-Score: 7.5) ist, eine SSRF-Schwachstelle im quelloffenen Shibboleth XMLTooling-Bibliothek. Diese wurde von den Verantwortlichen im Juni 2023 mit der Veröffentlichung der Version 3.2.4 behoben. Der Sicherheitsforscher Will Dormann wies darauf hin, dass Ivanti VPN-Geräte veraltete Open-Source-Komponenten verwenden, wie zum Beispiel Curl 7.19.7, OpenSSL 1.0.2n-fips, Perl 5.6.1, Psql 9.6.14, Cabextract 0.5, SSH 5.3p1 und Unzip 6.00, was weitere Angriffe ermöglichen könnte.
Dies geschieht, während Angreifer einen Weg gefunden haben, die anfängliche Abhilfemaßnahme von Ivanti zu umgehen, was das Unternehmen aus Utah dazu veranlasste, eine zweite Abhilfedatei zu veröffentlichen. Seit dem 1. Februar 2024 hat Ivanti begonnen, offizielle Patches zur Behebung aller Schwachstellen zu veröffentlichen.
Letzte Woche hat Mandiant, ein Unternehmen im Besitz von Google, bekannt gegeben, dass mehrere Angreifer CVE-2023-46805 und CVE-2024-21887 nutzen, um verschiedene benutzerdefinierte Web-Shells namens BUSHWALK, CHAINLINE, FRAMESTING und LIGHTWIRE einzusetzen.