Ivanti a révélé qu’une faille de sécurité récemment corrigée dans son Cloud Service Appliance (CSA) est activement exploitée dans la nature.
La vulnérabilité de haute gravité en question est CVE-2024-8190 (score CVSS : 7,2), qui permet l’exécution de code à distance dans certaines circonstances.
« Une vulnérabilité d’injection de commande du système d’exploitation dans les versions 4.6 Patch 518 et antérieures d’Ivanti Cloud Services Appliance permet à un attaquant authentifié à distance d’obtenir l’exécution de code à distance », a indiqué Ivanti dans un avis publié plus tôt cette semaine. « L’attaquant doit disposer de privilèges de niveau administrateur pour exploiter cette vulnérabilité. »
Cette faille affecte Ivanti CSA 4.6, qui a actuellement atteint le statut de fin de vie, ce qui oblige les clients à effectuer une mise à niveau vers une version prise en charge à l’avenir. Cela dit, elle a été corrigée dans le patch 519 de CSA 4.6.
« Avec le statut de fin de vie, il s’agit du dernier correctif qu’Ivanti va rétroporter pour cette version », a ajouté l’entreprise de logiciels informatiques basée dans l’Utah. « Les clients doivent effectuer une mise à niveau vers Ivanti CSA 5.0 pour bénéficier d’un support continu. »
« CSA 5.0 est la seule version prise en charge et ne contient pas cette vulnérabilité. Les clients qui exécutent déjà Ivanti CSA 5.0 n’ont pas besoin de prendre de mesures supplémentaires. »
Vendredi, Ivanti mis à jour son avis indique qu’il a observé une exploitation confirmée de la faille dans la nature ciblant un « nombre limité de clients ».
Il n’a pas révélé de détails supplémentaires liés aux attaques ou à l’identité des acteurs de la menace qui l’utilisent, cependant, un certain nombre d’autres vulnérabilités dans les produits Ivanti ont été exploitées comme une faille zero-day par des groupes de cyberespionnage liés à la Chine.
Cette évolution a incité l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à ajouter le manque de ses vulnérabilités connues exploitées (KEV) catalogue, obligeant les agences fédérales à appliquer les correctifs d’ici le 4 octobre 2024.
Cette divulgation intervient également alors que la société de cybersécurité Horizon3.ai publié une analyse technique détaillée d’une vulnérabilité critique de désérialisation (CVE-2024-29847, score CVSS : 10,0) affectant Endpoint Manager (EPM) qui entraîne l’exécution de code à distance.