A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou na quarta-feira uma falha de segurança afetando o Endpoint Supervisor (EPM) que a empresa corrigiu em maio em seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com base em evidências de exploração ativa.
A vulnerabilidade, rastreada como CVE-2024-29824carrega uma pontuação CVSS de 9,6 de um máximo de 10,0, indicando gravidade crítica.
“Uma vulnerabilidade não especificada de injeção de SQL no servidor Core do Ivanti EPM 2022 SU5 e anteriores permite que um invasor não autenticado na mesma rede execute código arbitrário”, disse o provedor de serviços de software program em um comunicado divulgado em 21 de maio de 2024.
Horizon3.ai, que lançou uma exploração de prova de conceito (PoC) para a falha em junho, disse que o problema está enraizado em uma função chamada RecordGoodApp() dentro de uma DLL chamada PatchBiz.dll.
Especificamente, trata-se de como a função lida com uma instrução de consulta SQL, permitindo assim que um invasor obtenha execução remota de código by way of xp_cmdshell.
Os detalhes exatos de como a deficiência está sendo explorada ainda não estão claros, mas a Ivanti atualizou o boletim para afirmar que “confirmou a exploração de CVE-2024-29824” e que um “número limitado de clientes” foi alvo. .
Com o desenvolvimento mais recente, até quatro falhas diferentes nos dispositivos Ivanti foram alvo de abuso ativo em apenas um mês, mostrando que são um vetor de ataque lucrativo para os agentes de ameaças –
- CVE-2024-8190 (Pontuação CVSS: 7,2) – Uma vulnerabilidade de injeção de comando do sistema operacional no Cloud Service Equipment (CSA)
- CVE-2024-8963 (pontuação CVSS: 9,4) – Uma vulnerabilidade de passagem de caminho no CSA
- CVE-2024-7593 (Pontuação CVSS: 9,8) – Uma vulnerabilidade de desvio de autenticação Digital Site visitors Supervisor (vTM)
As agências federais são obrigadas a atualizar as suas instâncias para a versão mais recente até 23 de outubro de 2024, para proteger as suas redes contra ameaças ativas.
