Ivanti a averti que trois nouvelles vulnérabilités de sécurité affectant son Cloud Service Appliance (CSA) ont été activement exploitées dans la nature.
Les failles du jour zéro sont utilisées en conjonction avec une autre faille de CSA que la société a corrigée le mois dernier, a déclaré le fournisseur de services logiciels basé dans l’Utah.
Une exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant authentifié disposant de privilèges d’administrateur de contourner les restrictions, d’exécuter des instructions SQL arbitraires ou d’obtenir l’exécution de code à distance.
« Nous sommes conscients d’un nombre limité de clients exécutant le correctif 518 et versions antérieures de CSA 4.6 qui ont été exploités lorsque CVE-2024-9379, CVE-2024-9380 ou CVE-2024-9381 sont enchaînés avec CVE-2024-8963 », indique le communiqué. entreprise dit.
Il n’existe aucune preuve d’exploitation dans les environnements clients exécutant CSA 5.0. UN brève description des trois lacunes est la suivante –
- CVE-2024-9379 (score CVSS : 6,5) – L’injection SQL dans la console Web d’administration d’Ivanti CSA avant la version 5.0.2 permet à un attaquant authentifié à distance avec des privilèges d’administrateur d’exécuter des instructions SQL arbitraires.
- CVE-2024-9380 (score CVSS : 7,2) – Une vulnérabilité d’injection de commande du système d’exploitation (OS) dans la console Web d’administration d’Ivanti CSA avant la version 5.0.2 permet à un attaquant authentifié à distance avec des privilèges d’administrateur d’obtenir l’exécution de code à distance.
- CVE-2024-9381 (score CVSS : 7,2) – La traversée de chemin dans Ivanti CSA avant la version 5.0.2 permet à un attaquant authentifié à distance avec des privilèges d’administrateur de contourner les restrictions.
Les attaques observées par Ivanti impliquent la combinaison des failles susmentionnées avec CVE-2024-8963 (score CVSS : 9,4), une vulnérabilité de traversée de chemin critique qui permet à un attaquant distant non authentifié d’accéder à des fonctionnalités restreintes.
Ivanti a déclaré avoir découvert les trois nouvelles failles dans le cadre de son enquête sur l’exploitation de CVE-2024-8963 et CVE-2024-8190 (score CVSS : 7,2), un autre bug d’injection de commandes du système d’exploitation désormais corrigé dans CSA qui a également été abusé. à l’état sauvage.
Outre la mise à jour vers la dernière version (5.0.2), la société recommande aux utilisateurs de vérifier l’appliance pour les utilisateurs administratifs modifiés ou nouvellement ajoutés afin de rechercher des signes de compromission, ou de vérifier les alertes des outils de détection et de réponse des points finaux (EDR) installés sur l’appareil.
Ce développement intervient moins d’une semaine après que l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté mercredi une faille de sécurité affectant Ivanti Endpoint Manager (EPM) qui a été corrigée en mai (CVE-2024-29824, score CVSS : 9,6) au Catalogue des vulnérabilités exploitées connues (KEV).