Az Ivanti által azonosított Server-Side Request Forgery (SSRF) sebezhetőségét jelenleg több csoport aktívan kihasználja támadásokban.
Korábban az Ivanti két magas súlyosságú sebezhetőségre figyelmeztetett a Connect Secure és a Policy Secure megoldásaiban, amelyeket CVE-2024-21888 (CVSS pontszám: 8.8) és CVE-2024-21893 (CVSS pontszám: 8.2) néven követnek nyomon.
A CVE-2024-21893 egy szerveroldali kéréshamisítási sebezhetőség a Connect Secure (9.x, 22.x), a Policy Secure (9.x, 22.x) és a Neurons for ZTA SAML komponensében. Egy hitelesített támadó kihasználás esetén hozzáférhet bizonyos korlátozott erőforrásokhoz.
A vállalat figyelmeztetett, hogy a helyzet még mindig fokozódik és több szereplő gyorsan adaptálhatja a TTP-ket, hogy kampányaikban kihasználhassák a sérülékenységeket.
A szoftvercég a „mitigation.release.20240126.5.xml” fájl importálását javasolja ideiglenes megoldásként a két sebezhetőségre.
2024. február 2-án a Rapid7 kutatói technikai elemzést és PoC-t tettek közzé. Az exploit kód elérhetősége segíthet a támadók számára a támadásokban.
A Shadowserver kutatói megfigyelik a CVE-2024-21893 hiba kihasználását, azonban rámutattak, hogy a támadások órákkal a Rapid7 PoC közzététele előtt kezdődtek. A megfigyelt támadások több száz különböző IP címet érintettek.
A CISA megalakulása óta először, a szövetségi ügynökségeket arra utasította, hogy 48 órán belül kapcsolják le az Ivanti Connect Secure és az Ivanti Policy Secure termékek minden példányát.