A Ivanti revelou que uma falha de segurança recentemente corrigida em seu Cloud Service Equipment (CSA) está sendo ativamente explorada.
A vulnerabilidade de alta gravidade em questão é a CVE-2024-8190 (pontuação CVSS: 7,2), que permite a execução remota de código sob certas circunstâncias.
“Uma vulnerabilidade de injeção de comando do SO nas versões 4.6 Patch 518 e anteriores do Ivanti Cloud Companies Equipment permite que um invasor remoto autenticado obtenha execução remota de código”, observou a Ivanti em um aviso divulgado no início desta semana. “O invasor deve ter privilégios de nível de administrador para explorar esta vulnerabilidade.”
A falha afeta o Ivanti CSA 4.6, que atualmente atingiu o standing de fim de vida útil, exigindo que os clientes atualizem para uma versão com suporte daqui para frente. Dito isso, foi corrigido no CSA 4.6 Patch 519.
“Com o standing de fim de vida, esta é a última correção que a Ivanti fará backport para esta versão”, acrescentou a empresa de software program de TI sediada em Utah. “Os clientes devem atualizar para o Ivanti CSA 5.0 para suporte contínuo.”
“CSA 5.0 é a única versão suportada e não contém essa vulnerabilidade. Clientes que já estão executando o Ivanti CSA 5.0 não precisam tomar nenhuma ação adicional.”
Na sexta-feira, a Ivanti atualizou seu comunicado informando que observou exploração confirmada da falha em campo, visando um “número limitado de clientes”.
Não foram revelados detalhes adicionais relacionados aos ataques ou a identidade dos agentes de ameaças que os utilizaram como armas. No entanto, uma série de outras vulnerabilidades nos produtos Ivanti foram exploradas como vulnerabilidades de dia zero por grupos de ciberespionagem ligados à China.
O desenvolvimento levou a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) a adicionar a deficiência ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que as agências federais apliquem as correções até 4 de outubro de 2024.
A divulgação também ocorre no momento em que a empresa de segurança cibernética Horizon3.ai publicou uma análise técnica detalhada de uma vulnerabilidade crítica de desserialização (CVE-2024-29847, pontuação CVSS: 10,0) que afeta o Endpoint Supervisor (EPM) e resulta na execução remota de código.
