CVE-2024-21893 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Ivanti Connect Secure SAML组件存在 **SSRF（服务器端请求伪造）** 漏洞。 💥 **后果**：攻击者可 **无需身份验证** 直接访问受限资源，甚至结合其他漏洞实现 **远程代码执行 (RCE)**。

🔍 **缺陷点**：SAML 组件处理逻辑存在缺陷。 📝 **CWE**：数据中未明确标注具体 CWE ID，但核心为 **SSRF** 类型缺陷。

🏢 **厂商**：Ivanti。 📦 **产品**： - Ivanti Connect Secure (9.x, 22.x) - Ivanti Policy Secure (9.x, 22.x) - Ivanti Neurons for ZTA

🕵️ **黑客能力**： 1. **绕过认证**：直接访问后台受限资源。 2. **链式攻击**：结合 CVE-2024-21887 (命令注入)，可实现 **未授权的远程代码执行 (RCE)**，完全控制设备。

📉 **门槛极低**： - **无需认证**：攻击者无需登录即可发起利用。 - **自动化**：已有 Python 脚本支持自动化探测和利用。

🔥 **有现成 Exp**： - GitHub 上有公开的 Python PoC (`CVE-2024-21893.py`)。 - 存在 **链式利用工具** (CVE-2024-21893 to CVE-2024-21887)，可直接用于 RCE。 - Nuclei 模板已更新，可快速扫描。

🛡️ **自查方法**： 1. 使用 **Nuclei** 扫描模板 `http/cves/2024/CVE-2024-21893.yaml`。 2. 检查是否存在 SAML 相关接口被 SSRF 利用的痕迹。 3. 监控是否有来自外部的异常 SAML 请求。

🛠️ **官方修复**： - Ivanti 已于 **2024-01-31** 披露该漏洞。 - 建议立即升级至官方提供的 **安全补丁版本**。 - 参考 Ivanti 论坛关于权限提升 (CVE-2024-21888) 的说明进行综合修复。

⚠️ **临时规避**： - 若无法立即打补丁，应 **限制 SAML 组件的网络访问**。 - 配置防火墙规则，阻断对 SAML 端点的未授权访问。 - 启用 WAF 规则拦截 SSRF 特征请求。

🚨 **优先级：极高**。 - 该漏洞 **无需认证** 且 **已在野利用** (结合 RCE)。 - 建议 **立即行动**，优先修补或实施网络隔离措施。