Recentemente, è stata scoperta una vulnerabilità di tipo Server-Side Request Forgery (SSRF) che colpisce i prodotti Ivanti Connect Secure e Ivanti Policy Secure, identificata come CVE-2024-21893. Questa falla sta subendo un’espansione massiva degli attacchi da parte di numerosi aggressori, con oltre 170 indirizzi IP distinti che tentano di sfruttare la vulnerabilità. La gravità di questa situazione è stata evidenziata da Shadowserver, che ha osservato un volume di sfruttamento significativamente maggiore rispetto ad altre vulnerabilità di Ivanti recentemente corrette o mitigate.
La vulnerabilità SSRF in questione consente agli aggressori di bypassare l’autenticazione e accedere a risorse altrimenti ristrette sui dispositivi vulnerabili, specificamente le versioni 9.x e 22.x. Nonostante Ivanti abbia inizialmente segnalato che la falla era stata sfruttata in attacchi mirati a un “numero limitato di clienti”, la divulgazione pubblica della vulnerabilità ha portato a un aumento degli attacchi.
La diffusione di un exploit proof-of-concept (PoC) da parte dei ricercatori di Rapid7 ha indubbiamente facilitato gli attacchi, sebbene Shadowserver abbia notato che gli aggressori utilizzavano metodi simili ore prima della pubblicazione del rapporto di Rapid7. Ciò indica che gli hacker avevano già scoperto come sfruttare CVE-2024-21893 per ottenere accesso illimitato e non autenticato ai punti finali vulnerabili di Ivanti.
La situazione è ulteriormente complicata dal fatto che gli attori delle minacce hanno trovato il modo di eludere le mitigazioni iniziali di Ivanti, costringendo l’azienda con sede nello Utah a rilasciare un secondo file di mitigazione. A partire dal 1° febbraio 2024, Ivanti ha iniziato a rilasciare patch ufficiali per affrontare tutte le vulnerabilità.
In risposta alla situazione di sfruttamento attivo di molteplici vulnerabilità zero-day critiche, alla mancanza di mitigazioni efficaci e all’assenza di aggiornamenti di sicurezza per alcune versioni dei prodotti interessati, l’Agenzia per la Sicurezza delle Infrastrutture e della Cybersecurity (CISA) degli Stati Uniti ha ordinato alle agenzie federali di disconnettere tutti i dispositivi Ivanti Connect Secure e Policy Secure VPN. Solo i dispositivi che sono stati ripristinati alle impostazioni di fabbrica e aggiornati all’ultima versione del firmware dovrebbero essere riconnessi alla rete, mentre le versioni più vecchie che rimangono vulnerabili sono ancora prive di una patch.
Questa serie di eventi sottolinea l’importanza di una risposta rapida e coordinata alle vulnerabilità di sicurezza e la necessità di pratiche di sicurezza robuste per proteggere le infrastrutture critiche dalle minacce cyber.