Útočníci zneužívajú kritickú zraniteľnosť Ivanti Cloud Services Appliance
Aktualizované 25.09.2024 - Udalosti
September 20, 2024
Spoločnosť Ivanti informovala o novej kritickej zraniteľnosti v produkte CSA, ktorá umožňuje získať prístup ku chráneným funkcionalitám. Útočníci ju zneužívajú v kombinácii s nedávno publikovanou zraniteľnosťou umožňujúcou vzdialené vykonávanie kódu.
Zraniteľné systémy:
- Ivanti CSA (Cloud Services Appliance) verzia 4.6 pred Patch 519
Opis činnosti:
CVE-2024-8963 (CVSSv3.0 skóre 9,4)
Spoločnosť IVANTI vydala bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú kritickú zraniteľnosť v produkte Cloud Services Appliance. CVE-2024-8963 je chyba typu path traversal. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na obídenie mechanizmov autentifikácie a získanie prístupu k administrátorským funkcionalitám CSA.
Útočníci zraniteľnosť aktívne zneužívajú v kombinácii so zraniteľnosťou CVE-2024-8190, ktorá bola opravená už 10. septembra 2024. Chyba umožňovala injektovať systémové príkazy a vzdialene vykonávať kód, pokiaľ mal útočník administrátorský prístup k zariadeniu. Zraniteľnosť CVE-2024-8963 však dovoľuje túto podmienku obísť.
Možné škody:
- Eskalácia oprávnení
- Prístup ku chráneným zdrojom
Odporúčania:
Bezodkladná aktualizácia na verziu Ivanti CSA 4.6 Patch 519 alebo CSA 5.0, vzhľadom na to, že verzia 4.6 už nie je podporovaná.
Spoločnosť Ivanti odporúča v CSA kontrolu používateľov, či nedošlo ku zmene alebo pridaniu nových účtov. Pre zníženie rizika odporúča nakonfigurovať dual homing s rozhraním eth0 ako internou sieťou a nasadiť EDR.
Celý článok nájdete na: https://www.csirt.gov.sk/posts/1372.html