Ivanti alertou que três novas vulnerabilidades de segurança que afetam seu Cloud Service Equipment (CSA) estão sob exploração ativa.
As falhas de dia zero estão sendo transformadas em arma em conjunto com outra falha no CSA que a empresa corrigiu no mês passado, disse o provedor de serviços de software program com sede em Utah.
A exploração bem-sucedida dessas vulnerabilidades pode permitir que um invasor autenticado com privilégios de administrador ignore restrições, execute instruções SQL arbitrárias ou obtenha execução remota de código.
“Estamos cientes de um número limitado de clientes executando o patch 518 e anteriores do CSA 4.6 que foram explorados quando CVE-2024-9379, CVE-2024-9380 ou CVE-2024-9381 foram encadeados com CVE-2024-8963”, o disse a empresa.
Não há evidências de exploração em ambientes de clientes que executam o CSA 5.0. Uma breve descrição das três deficiências é a seguinte –
- CVE-2024-9379 (Pontuação CVSS: 6,5) – A injeção de SQL no console internet de administração do Ivanti CSA antes da versão 5.0.2 permite que um invasor autenticado remotamente com privilégios de administrador execute instruções SQL arbitrárias
- CVE-2024-9380 (Pontuação CVSS: 7.2) – Uma vulnerabilidade de injeção de comando do sistema operacional (SO) no console internet de administração do Ivanti CSA antes da versão 5.0.2 permite que um invasor autenticado remotamente com privilégios de administrador obtenha execução remota de código
- CVE-2024-9381 (Pontuação CVSS: 7.2) – A travessia de caminho no Ivanti CSA antes da versão 5.0.2 permite que um invasor autenticado remotamente com privilégios de administrador contorne as restrições.
Os ataques observados pela Ivanti envolvem a combinação das falhas mencionadas acima com CVE-2024-8963 (pontuação CVSS: 9,4), uma vulnerabilidade de passagem de caminho crítico que permite que um invasor remoto não autenticado acesse funcionalidades restritas.
Ivanti disse que descobriu as três novas falhas como parte de sua investigação sobre a exploração de CVE-2024-8963 e CVE-2024-8190 (pontuação CVSS: 7,2), outro bug de injeção de comando de sistema operacional agora corrigido no CSA que também foi abusado na natureza.
Além de atualizar para a versão mais recente (5.0.2), a empresa recomenda que os usuários revisem o dispositivo para que usuários administrativos modificados ou recém-adicionados procurem sinais de comprometimento ou verifiquem alertas de ferramentas de detecção e resposta de endpoint (EDR) instaladas no o dispositivo.
O desenvolvimento ocorre menos de uma semana depois que a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou na quarta-feira uma falha de segurança afetando o Ivanti Endpoint Supervisor (EPM) que foi corrigida em maio (CVE-2024-29824, pontuação CVSS: 9,6) ao Catálogo de vulnerabilidades exploradas conhecidas (KEV).