SSRF-уязвимость в Ivanti используется для установки бэкдора DSLog ИБ-эксперты обнаружили, что свежая 0-day уязвимость
CVE-2024-21893, затрагивающая решения Ivanti Connect Secure, Policy Secure и шлюзы ZTA, используется для установки нового бэкдора
DSLog на уязвимые устройства.
Напомним, что о двух уязвимостях нулевого дня
(CVE-2024-21893 и CVE-2024-21888), представляющих угрозу для Connect Secure, Policy Secure и шлюзов ZTA, стало известно в начале февраля 2024 года.
Проблема CVE-2024-21893 представляет собой
SSRF-уязвимость, проявляющуюся на стороне сервера в компоненте
SAML. Ошибка позволяет обходить аутентификацию и получать доступ к определенным ресурсам на уязвимых устройства (версий 9.x и 22.x).
Хотя разработчики выпустили
патчи для этого бага (Ivanti Connect Secure версий 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1 и 22.5R2.2, Ivanti Policy Secure версии 22.5R1.1 и ZTA версии 22.6R1.3), в начале февраля ИБ-исследователи уже предупреждали, что уязвимость подвергается массовым атакам злоумышленников. Причем увеличению числа атак явно поспособствовал PoC-эксплоит для этой проблемы, опубликованный экспертами
Rapid7.
