Ivanti alertou que três novas vulnerabilidades de segurança que afetam o Cloud Service Appliance (CSA) estão sob exploração ativa.
As falhas de dia zero foram exploradas em conjunto com outra falha no CSA que a empresa corrigiu no mês passado, disse o provedor de serviços de software com sede em Utah.
A exploração bem-sucedida desta vulnerabilidade poderia permitir que um invasor autorizado com privilégios administrativos contornasse restrições, executasse instruções SQL arbitrárias ou obtivesse execução remota de código.
“Estamos cientes de um número limitado de clientes usando CSA 4.6 patch 518 e anteriores que foram explorados onde CVE-2024-9379, CVE-2024-9380 ou CVE-2024-9381 é fornecido com CVE-2024-8963”, disse o disse a empresa.
Não há evidências de exploração de sites de clientes que usam o CSA 5.0. Uma breve descrição dos três erros é a seguinte:
- CVE-2024-9379 (Pontuação CVSS: 6.5) – A injeção de SQL no console web de administração do Ivanti CSA antes da versão 5.0.2 permite que um invasor remoto autorizado com privilégios administrativos execute instruções SQL arbitrárias
- CVE-2024-9380 (Pontuação CVSS: 7.2) – Uma vulnerabilidade de injeção de sistema operacional (SO) no console web do administrador do Ivanti CSA antes da versão 5.0.2 permite que um invasor remoto autorizado com privilégios administrativos obtenha execução remota de código
- CVE-2024-9381 (Pontuação CVSS: 7.2) – Uma vulnerabilidade no Ivanti CSA anterior à versão 5.0.2 permite que um invasor remoto autorizado com privilégios administrativos contorne as restrições.
O ataque detectado pela Ivanti envolve a combinação das falhas mencionadas acima com CVE-2024-8963 (pontuação CVSS: 9,4), uma vulnerabilidade crítica de tráfego que permite que um invasor remoto não autorizado obtenha funcionalidade limitada.
Ivanti disse que descobriu três novas falhas como parte de sua investigação sobre as explorações de CVE-2024-8963 e CVE-2024-8190 (pontuação CVSS: 7,2), outro bug de injeção de sistema operacional agora incluído no CSA que foi explorado. na natureza.
Além de atualizar para a versão mais recente (5.0.2), a empresa recomenda que os usuários revisem o sistema operacional para usuários modificados ou recém-adicionados em busca de sinais de comprometimento ou verifiquem avisos das ferramentas de detecção e resposta de endpoint (EDR). instalado neles. dispositivo.
O desenvolvimento ocorre menos de uma semana depois que a Agência de Segurança Cibernética e de Infraestrutura (CISA) adicionou na quarta-feira uma falha de segurança afetando o Ivanti Endpoint Manager (EPM) que foi corrigida em maio (CVE-2024-29824, pontuação CVSS: 9,6) ao catálogo. conhecidas como Vulnerabilidades Exploradas (KEV).
