# CVE-2024-21893 > [!high] SSRF no Ivanti Connect Secure - Parte da Campanha Cutting Edge > Server-Side Request Forgery (SSRF) no componente SAML do Ivanti Connect Secure permite acesso não autenticado a recursos restritos. Explorada ativamente como parte da operação **Cutting Edge** - campanha de espionagem de múltiplos APTs contra VPNs Ivanti em todo o mundo, com impacto documentado em setores de defesa e governo. ## Visão Geral [[cve-2024-21893|CVE-2024-21893]] é uma vulnerabilidade SSRF (Server-Side Request Forgery) no componente SAML do Ivanti Connect Secure, Ivanti Policy Secure e Ivanti Neurons for ZTA. A falha permite que um atacante remoto não autenticado faça a VPN Ivanti enviar requisições HTTP para recursos internos arbitrários, contornando controles de rede e potencialmente acessando serviços internos que não deveriam ser alcançáveis externamente. Esta CVE faz parte da [[cutting-edge|Campanha Cutting Edge]], uma operação de espionagem coordenada que encadeou múltiplas vulnerabilidades Ivanti (incluindo CVE-2023-46805 e CVE-2024-21887) para comprometer VPNs de organizações de alto valor em todo o mundo. Os setores alvejados incluem defesa, governo, saúde e telecomúnicações - exatamente os setores com maior concentração de dados sensíveis. O Ivanti Connect Secure é um produto de VPN/ZTNA amplamente utilizado por organizações que precisam de acesso remoto seguro. Sua posição como gateway de acesso à rede corporativa o torna um alvo prioritário para APTs: comprometer a VPN significa comprometer o perímetro de segurança da organização inteira. > [!latam] Relevância LATAM > Organizações governamentais, militares e de infraestrutura crítica no Brasil e LATAM que utilizam Ivanti Connect Secure devem verificar se foram alvo da Campanha Cutting Edge. O CISA públicou orientações específicas para caça de ameaças nestes ambientes. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Server-Side Request Forgery (CWE-918) | | Componente | Ivanti Connect Secure - componente SAML | | Pré-requisito | Nenhum - não autenticado | | Impacto | Acesso a recursos internos, combinado com outras CVEs para RCE | | Campanha | Cutting Edge - múltiplos APTs | ## TTPs Associadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração da VPN Ivanti exposta - [[t1599-network-boundary-bridging|T1599]] - Transposição de perímetro de rede via SSRF - [[t1133-external-remote-services|T1133]] - Abuso da infraestrutura VPN comprometida - [[t1505-003-web-shell|T1505.003]] - Webshell pós-exploração na VPN ## Detecção e Defesa **Mitigação:** Aplicar patches Ivanti de fevereiro 2024 e seguir o guia de Integrity Checker do CISA. **Caça de ameaças (per CISA):** - Executar Ivanti Integrity Checker Tool para detectar modificações - Verificar certificados SSL e configurações SAML por alterações não autorizadas - Auditar logs de autenticação VPN para padrões SSRF **Mitigações adicionais:** - [[m1030-network-segmentation|M1030]] - Restringir conectividade saída da VPN Ivanti - [[m1051-update-software|M1051]] - Patches Ivanti e monitoração contínua de advisories - [[m1031-network-intrusion-prevention|M1031]] - IPS monitorando tráfego anômalo da VPN ## Referências - [Ivanti Security Advisory](https://www.ivanti.com/blog/security-vulnerabilities-resolved-in-ivanti-connect-secure-and-ivanti-policy-secure-gateways) - [Mandiant - Cutting Edge campaign analysis](https://www.mandiant.com/resources/blog) - [CISA Emergency Directive - Ivanti](https://www.cisa.gov/news-events/directives)