Útočníci zneužívajú kritickú zraniteľnosť Ivanti Cloud Services Appliance

Spoločnosť Ivanti informovala o novej kritickej zraniteľnosti v produkte CSA, ktorá umožňuje získať prístup ku chráneným funkcionalitám. Útočníci ju zneužívajú v kombinácii s nedávno publikovanou zraniteľnosťou umožňujúcou vzdialené vykonávanie kódu.

Zraniteľné systémy:

• Ivanti CSA (Cloud Services Appliance) verzia 4.6 pred Patch 519

Opis činnosti:

CVE-2024-8963 (CVSSv3.0 skóre 9,4)

Spoločnosť IVANTI vydala bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú kritickú zraniteľnosť v produkte Cloud Services Appliance. CVE-2024-8963 je chyba typu path traversal. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na obídenie mechanizmov autentifikácie a získanie prístupu k administrátorským funkcionalitám CSA.

Útočníci zraniteľnosť aktívne zneužívajú v kombinácii so zraniteľnosťou CVE-2024-8190, ktorá bola opravená už 10. septembra 2024. Chyba umožňovala injektovať systémové príkazy a vzdialene vykonávať kód, pokiaľ mal útočník administrátorský prístup k zariadeniu. Zraniteľnosť CVE-2024-8963 však dovoľuje túto podmienku obísť.

Možné škody:

• Eskalácia oprávnení
• Prístup ku chráneným zdrojom

Odporúčania:

Bezodkladná aktualizácia na verziu Ivanti CSA 4.6 Patch 519 alebo CSA 5.0, vzhľadom na to, že verzia 4.6 už nie je podporovaná.

Spoločnosť Ivanti odporúča v CSA kontrolu používateľov, či nedošlo ku zmene alebo pridaniu nových účtov. Pre zníženie rizika odporúča nakonfigurovať dual homing s rozhraním eth0 ako internou sieťou a nasadiť EDR.

Odkazy:

• https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-CSA-4-6-Cloud-Services-Appliance-CVE-2024-8963?language=en_US
• https://www.bleepingcomputer.com/news/security/ivanti-warns-of-another-critical-csa-flaw-exploited-in-attacks/
• https://www.securityweek.com/ivanti-warns-of-second-csa-vulnerability-exploited-in-attacks/