Une faille d’Ivanti Endpoint Manager activement ciblée, la CISA avertit les agences de la corriger

teknomers


03 octobre 2024Ravie LakshmananVulnérabilité/Sécurité des points de terminaison

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié mercredi ajouté une faille de sécurité impactant Endpoint Manager (EPM) que l’entreprise a corrigée en mai à ses vulnérabilités exploitées connues (KEV), fondé sur des preuves d’exploitation active.

La vulnérabilité, suivie comme CVE-2024-29824présente un score CVSS de 9,6 sur un maximum de 10,0, indiquant une gravité critique.

« Une vulnérabilité d’injection SQL non spécifiée dans le serveur Core d’Ivanti EPM 2022 SU5 et versions antérieures permet à un attaquant non authentifié au sein du même réseau d’exécuter du code arbitraire », a déclaré le fournisseur de services logiciels. dit dans un avis publié le 21 mai 2024.

Cybersécurité

Horizon3.ai, qui libéré un exploit de preuve de concept (PoC) pour la faille en juin, a déclaré que le problème était enraciné dans une fonction appelée RecordGoodApp() dans une DLL nommée PatchBiz.dll.

Plus précisément, cela concerne la façon dont la fonction gère une instruction de requête SQL, permettant ainsi à un attaquant d’exécuter du code à distance via xp_cmdshell.

Les détails exacts de la façon dont la faille est exploitée dans la nature restent flous, mais Ivanti a depuis mis à jour le bulletin pour indiquer qu’il a « confirmé l’exploitation de CVE-2024-29824 » et qu’un « nombre limité de clients » ont été ciblés. .

Avec le dernier développement, pas moins de quatre failles différentes dans les appliances Ivanti ont fait l’objet d’abus actifs en seulement un mois, démontrant qu’elles constituent un vecteur d’attaque lucratif pour les acteurs malveillants :

  • CVE-2024-8190 (score CVSS : 7,2) – Une vulnérabilité d’injection de commandes du système d’exploitation dans Cloud Service Appliance (CSA)
  • CVE-2024-8963 (score CVSS : 9,4) – Une vulnérabilité de traversée de chemin dans CSA
  • CVE-2024-7593 (score CVSS : 9,8) – Une vulnérabilité de contournement d’authentification Virtual Traffic Manager (vTM)

Les agences fédérales sont tenues de mettre à jour leurs instances vers la dernière version d’ici le 23 octobre 2024, afin de protéger leurs réseaux contre les menaces actives.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Gazouillement et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57