Ivanti advirtió que tres nuevas vulnerabilidades de seguridad que afectan su dispositivo de servicio en la nube (CSA) han sido explotadas activamente en la naturaleza.
Las fallas de día cero se están utilizando como arma junto con otra falla en CSA que la compañía corrigió el mes pasado, dijo el proveedor de servicios de software con sede en Utah.
La explotación exitosa de estas vulnerabilidades podría permitir a un atacante autenticado con privilegios de administrador eludir restricciones, ejecutar sentencias SQL arbitrarias u obtener ejecución remota de código.
“Somos conscientes de un número limitado de clientes que ejecutan CSA 4.6 parche 518 y anteriores que han sido explotados cuando CVE-2024-9379, CVE-2024-9380 o CVE-2024-9381 están encadenados con CVE-2024-8963”, compañía dicho.
No hay evidencia de explotación en entornos de clientes que ejecutan CSA 5.0. A breve descripción de las tres deficiencias es la siguiente:
- CVE-2024-9379 (Puntuación CVSS: 6,5): la inyección de SQL en la consola web de administración de Ivanti CSA anterior a la versión 5.0.2 permite a un atacante remoto autenticado con privilegios de administrador ejecutar sentencias SQL arbitrarias.
- CVE-2024-9380 (Puntuación CVSS: 7.2) – Una vulnerabilidad de inyección de comandos del sistema operativo (SO) en la consola web de administración de Ivanti CSA anterior a la versión 5.0.2 permite que un atacante remoto autenticado con privilegios de administrador obtenga la ejecución remota de código.
- CVE-2024-9381 (Puntuación CVSS: 7,2) – El recorrido de ruta en Ivanti CSA anterior a la versión 5.0.2 permite a un atacante remoto autenticado con privilegios de administrador eludir las restricciones.
Los ataques observados por Ivanti implican la combinación de las fallas antes mencionadas con CVE-2024-8963 (puntuación CVSS: 9,4), una vulnerabilidad de recorrido de ruta crítica que permite a un atacante remoto no autenticado acceder a funciones restringidas.
Ivanti dijo que descubrió las tres nuevas fallas como parte de su investigación sobre la explotación de CVE-2024-8963 y CVE-2024-8190 (puntuación CVSS: 7.2), otro error de inyección de comandos del sistema operativo ahora parcheado en CSA del que también se ha abusado. en la naturaleza.
Además de actualizar a la última versión (5.0.2), la compañía recomienda a los usuarios que revisen el dispositivo en busca de usuarios administrativos modificados o agregados recientemente para buscar signos de compromiso, o verificar alertas de las herramientas de respuesta y detección de puntos finales (EDR) instaladas en el dispositivo.
El desarrollo se produce menos de una semana después de que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregara el miércoles una falla de seguridad que afecta a Ivanti Endpoint Manager (EPM) y que se solucionó en mayo (CVE-2024-29824, puntuación CVSS: 9,6) a la Catálogo de vulnerabilidades explotadas conocidas (KEV).