La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el miércoles agregado una falla de seguridad que afecta a Endpoint Manager (EPM) y que la compañía parchó en mayo para sus vulnerabilidades explotadas conocidas (KEV) catálogo, basado en evidencia de explotación activa.
La vulnerabilidad, rastreada como CVE-2024-29824tiene una puntuación CVSS de 9,6 sobre un máximo de 10,0, lo que indica una gravedad crítica.
“Una vulnerabilidad de inyección SQL no especificada en el servidor central de Ivanti EPM 2022 SU5 y anteriores permite que un atacante no autenticado dentro de la misma red ejecute código arbitrario”, dijo el proveedor de servicios de software. dicho en un aviso publicado el 21 de mayo de 2024.
Horizon3.ai, que liberado un exploit de prueba de concepto (PoC) para la falla en junio, dijo que el problema tiene su origen en una función llamada RecordGoodApp() dentro de una DLL llamada PatchBiz.dll.
Específicamente, se refiere a cómo la función maneja una declaración de consulta SQL, permitiendo así que un atacante obtenga la ejecución remota de código a través de xp_cmdshell.
Los detalles exactos de cómo se está explotando la deficiencia en la naturaleza aún no están claros, pero desde entonces Ivanti ha actualizado el boletín para indicar que ha “confirmado la explotación de CVE-2024-29824” y que se ha atacado a un “número limitado de clientes”. .
Con el último desarrollo, hasta cuatro fallas diferentes en los dispositivos Ivanti han sido objeto de abuso activo en tan solo un mes, lo que demuestra que son un vector de ataque lucrativo para los actores de amenazas.
- CVE-2024-8190 (Puntuación CVSS: 7,2): una vulnerabilidad de inyección de comandos del sistema operativo en Cloud Service Appliance (CSA)
- CVE-2024-8963 (Puntuación CVSS: 9,4) – Una vulnerabilidad de recorrido de ruta en CSA
- CVE-2024-7593 (Puntuación CVSS: 9,8): una vulnerabilidad de omisión de autenticación en Virtual Traffic Manager (vTM)
Las agencias federales tienen el mandato de actualizar sus instancias a la última versión antes del 23 de octubre de 2024 para proteger sus redes contra amenazas activas.
About the Author
