Server-side request forgery (SSRF) խոցելիությունը, որն ազդում է Ivanti Connect Secure և Policy Secure արտադրանքների վրա, հայտնվել է զանգվածային շահագործման թիրախում:
Shadowserver Foundation-ի փոխանցմամբ համանման շահագործման տարբեր փորձեր են նկատվել, որոնք գրանցվել են ավելի քան 170 ունիկալ IP հասցեներից:
Կիբերհարձակումների ժամանակ օգտագործվել է CVE-2024-21893 (CVSS կատալոգում միավորը՝ 8.2) խոցելիությունը և Ivanti Connect Secure-ի SAML բաղադրիչում SSRF խոցելիությունը, որը հաքերներին թույլ է տվել մուտք ապահովել դեպի ներքին համակարգեր:
Հարկ է նշել, որ CVE-2024-21893-ը CVE-2023-36661 (CVSS կատալոգում գնահատման միավորը՝ 7.5)-ի կեղծանունն է, որն իրենից SSRF խոցելիություն է ներկայացնում և առկա է open-source Shibboleth XMLTooling գրադարանում: Այն սպասարկողների կողմից ամրագրվել է version 3.2.4-ի թողարկմամբ։
Google-ին պատկանող Mandiant-ը բացահայտեց, որ հաքերներն օգտագործել են՝ CVE-2023-46805 և CVE-2024-21887 խոցելիությունները` BUSHWALK, CHAINLINE, FRAMESTING և LIGHTWIRE web shell-երը տեղկայելու համար:
Ivanti-ի խոցելիությունների շարունակական շահագործումը Եվրոպական Միությանը՝ CERT-EU-ի, ENISA-ի և Europol-ի հետ մեկտեղ դրդել է հանդես գալ համատեղ զեկույցով, որի խորհրդով կոչ է արվում առավելագույնս հետևել ծրագրեր վաճառող ընկերությունների ուղեցույցին՝ հնարավոր ռիսկերից խուսափելու համար:
Աղբյուրը՝ https://thehackernews.com/
