Vulnerabilități critice identificate în Ivanti CSA
Sursă: https://thehackernews.com
Ivanti a avertizat că trei noi vulnerabilități de securitate ce afectează Cloud Service Appliance (CSA) au fost exploatate activ.
Furnizorul de servicii software a declarat că vulnerabilitățile de tip zero-day sunt exploatate împreună cu o altă vulnerabilitate a CSA pe care compania a remediat-o luna trecută.
Exploatarea cu succes a acestor vulnerabilități ar putea permite unui atacator autentificat cu privilegii de administrator să ocolească restricțiile, să execute comenzi SQL arbitrare sau să obțină executarea codului de la distanță.
Compania a semnalat că are cunoștință de un număr limitat de utilizatori care rulează CSA 4.6 patch 518 și versiuni anterioare care au fost exploatați atunci când CVE-2024-9379, CVE-2024-9380 sau CVE-2024-9381 sunt înlănțuite cu CVE-2024-8963.
Nu există dovezi de exploatare asupra sistemelor utilizatorilor ce utilizează CSA versiunea 5.0.
O scurtă descriere a celor trei vulnerabilități:
- CVE-2024-9379 (scor CVSS: 6.5) – o vulnerabilitate de tip SQL injection în cadrul consolei web de administrare a Ivanti CSA anterior versiunii 5.0.2 ce permite unui atacator autentificat de la distanță cu privilegii de administrare să execute comenzi SQL arbitrare;
- CVE-2024-9380 (Scorul CVSS: 7.2) – o vulnerabilitate de injectare de comenzi în sistemul de operare (OS) în cadrul consolei web de administrare a Ivanti CSA anterior versiunii 5.0.2 ce permite unui atacator autentificat de la distanță cu privilegii de administrare să obțină executarea codului de la distanță;
- CVE-2024-9381 (scor CVSS: 7.2) – o vulnerabilitate de tip path traversal în Ivanti CSA anterior versiunii 5.0.2 ce permite unui atacator autentificat de la distanță cu privilegii de administrator să ocolească restricțiile.
Atacurile observate de Ivanti implică combinarea vulnerabilităților menționate cu CVE-2024-8963 (scor CvSS: 9,4), o vulnerabilitate critică de tip path traversal care permite unui atacator neautentificat de la distanță să acceseze funcții restricționate.
Ivanti a precizat că a descoperit cele trei noi vulnerabilități ca parte a cercetării sale privind exploatarea CVE-2024-8963 și CVE-2024-8190 (scor CVSS: 7.2), o altă eroare de injectare de comenzi în sistemul de operare remediată recent, care, de asemenea, a fost exploatată în mod abuziv.
Pe lângă actualizarea la cea mai recentă versiune (5.0.2), compania recomandă utilizatorilor să-și verifice dispozitivul cu privire la utilizatorii cu drepturi de administrator modificați sau nou adăugați, pentru a căuta semne de compromitere sau pentru a verifica alertele de la instrumentele de detectare și răspuns la puncte terminale (EDR) instalate pe dispozitiv.
Sursă: https://thehackernews.com/2024/10/zero-day-alert-three-critical-ivanti.html?m=1
