Útočníci zneužívajú kritickú zraniteľnosť Ivanti Cloud Services Appliance
Spoločnosť Ivanti informovala o novej kritickej zraniteľnosti v produkte CSA, ktorá umožňuje získať prístup ku chráneným funkcionalitám. Útočníci ju zneužívajú v kombinácii s nedávno publikovanou zraniteľnosťou umožňujúcou vzdialené vykonávanie kódu.
Zraniteľné systémy:
- Ivanti CSA (Cloud Services Appliance) verzia 4.6 pred Patch 519
Opis činnosti:
CVE-2024-8963 (CVSSv3.0 skóre 9,4)
Spoločnosť IVANTI vydala bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú kritickú zraniteľnosť v produkte Cloud Services Appliance. CVE-2024-8963 je chyba typu path traversal. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na obídenie mechanizmov autentifikácie a získanie prístupu k administrátorským funkcionalitám CSA.
Útočníci zraniteľnosť aktívne zneužívajú v kombinácii so zraniteľnosťou CVE-2024-8190, ktorá bola opravená už 10. septembra 2024. Chyba umožňovala injektovať systémové príkazy a vzdialene vykonávať kód, pokiaľ mal útočník administrátorský prístup k zariadeniu. Zraniteľnosť CVE-2024-8963 však dovoľuje túto podmienku obísť.
Možné škody:
- Eskalácia oprávnení
- Prístup ku chráneným zdrojom
Odporúčania:
Bezodkladná aktualizácia na verziu Ivanti CSA 4.6 Patch 519 alebo CSA 5.0, vzhľadom na to, že verzia 4.6 už nie je podporovaná.
Spoločnosť Ivanti odporúča v CSA kontrolu používateľov, či nedošlo ku zmene alebo pridaniu nových účtov. Pre zníženie rizika odporúča nakonfigurovať dual homing s rozhraním eth0 ako internou sieťou a nasadiť EDR.
Odkazy:
- https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-CSA-4-6-Cloud-Services-Appliance-CVE-2024-8963?language=en_US
- https://www.bleepingcomputer.com/news/security/ivanti-warns-of-another-critical-csa-flaw-exploited-in-attacks/
- https://www.securityweek.com/ivanti-warns-of-second-csa-vulnerability-exploited-in-attacks/