Nieuw lek in Ivanti Connect Secure en Policy Secure massaal uitgebuit

Het gaat om CVE-2024-21893, een lek waarvoor Ivanti op 31 januari 2024 voor het eerst waarschuwde en versie 9.x en 22.x van de oplossingen treft. Het gaat om een zeroday-lek, waarvan het bestaan tot nu toe niet bekend was. Een beperkt aantal klanten van Ivanti zou al via het lek zijn aangevallen.

Op grote schaal uitgebuit

Threat monitoring-dienst Shadowserver waarschuwt dat kwaadwillenden de SRFF-bug inmiddels op grote schaal uitbuiten. Het meldt inmiddels meer dan 170 IP-adressen te hebben geïdentificeerd waarmee aanvallen worden uitgevoerd. Ook blijkt uit cijfers van het bedrijf dat dit nieuwe lek inmiddels aanzienlijk meer wordt uitgebuit dan de andere kwetsbaarheden die recentelijk in Ivanti Connect Secure en Ivanti Policy Secure opdoken. De focus van de aanvallers lijkt dan ook verschoven naar CVE-2024-21893.

We observed CVE-2024-21893 exploitation using '/dana-na/auth/saml-logout.cgi' on Feb 2nd hours before @Rapid7 posting & unsurprisingly lots to '/dana-ws/saml20.ws' after publication. This includes reverse shell attempts & other checks. To date, over 170 attacking IPs involved https://t.co/yUy4y2xCCz

— Shadowserver (@Shadowserver) February 4, 2024

Beveiligingsbedrijf Rapid7 bracht op 2 februari een proof of concept-exploit uit. Shadowserver wijst erop dat aanvallers voor deze publicatie al vergelijkbare methoden gebruikten voor het uitbuiten van de kwetsbaarheid. De publicatie van de proof of concept-code zou dan ook geen grote bijdrage hebben geleverd aan de hoeveelheid aanvallen waarbij het lek wordt uitgebuit.

We observed CVE-2024-21893 exploitation using '/dana-na/auth/saml-logout.cgi' on Feb 2nd hours before @Rapid7 posting & unsurprisingly lots to '/dana-ws/saml20.ws' after publication. This includes reverse shell attempts & other checks. To date, over 170 attacking IPs involved https://t.co/yUy4y2xCCz

— Shadowserver (@Shadowserver) February 4, 2024