Ivanti ha advertido que tres nuevas vulnerabilidades de seguridad que afectan a su dispositivo de servicio en la nube (CSA) han sido explotadas activamente.
Las fallas de día cero se están utilizando junto con otra falla CSA que la compañía solucionó el mes pasado, dijo el proveedor de servicios de software con sede en Utah.
La explotación exitosa de estas vulnerabilidades podría permitir a un atacante autenticado con privilegios de administrador eludir restricciones, ejecutar sentencias SQL arbitrarias o lograr la ejecución remota de código.
“Somos conscientes de un número limitado de clientes que ejecutan el parche 518 de CSA 4.6 y versiones anteriores que han sido explotados cuando CVE-2024-9379, CVE-2024-9380 o CVE-2024-9381 están encadenados con CVE-2024-8963”. decía el comunicado. negocio dicho.
No hay evidencia de explotación en entornos de clientes que ejecutan CSA 5.0. A breve descripción de las tres deficiencias es la siguiente:
- CVE-2024-9379 (Puntuación CVSS: 6,5): la inyección de SQL en la consola web de administración de Ivanti CSA anterior a la versión 5.0.2 permite a un atacante remoto autenticado con privilegios de administrador ejecutar sentencias SQL arbitrarias.
- CVE-2024-9380 (Puntuación CVSS: 7.2): una vulnerabilidad de inyección de comandos del sistema operativo (SO) en la consola web de administración Ivanti CSA anterior a 5.0.2 permite que un atacante remoto autenticado con privilegios de administrador obtenga la ejecución remota de código.
- CVE-2024-9381 (Puntuación CVSS: 7,2) – El recorrido de ruta en Ivanti CSA anterior a la versión 5.0.2 permite a un atacante remoto autenticado con privilegios de administrador eludir las restricciones.
Los ataques que Ivanti observó implican la combinación de las fallas antes mencionadas con CVE-2024-8963 (puntuación CVSS: 9,4), una vulnerabilidad de recorrido de ruta crítica que permite a un atacante remoto no autenticado acceder a funciones restringidas.
Ivanti dijo que descubrió las tres nuevas fallas como parte de su investigación sobre la explotación de CVE-2024-8963 y CVE-2024-8190 (puntuación CVSS: 7.2), otra vulnerabilidad de inyección de comandos del sistema ahora corregida en CSA y de la que también se abusó. en la naturaleza.
Además de actualizar a la última versión (5.0.2), la compañía recomienda a los usuarios verificar el dispositivo en busca de usuarios administrativos modificados o agregados recientemente para detectar signos de compromiso, o verificar las alertas de las herramientas de detección y Endpoint Response (EDR) instaladas en el dispositivo.
Este desarrollo se produce menos de una semana después de que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregara el miércoles una falla de seguridad que afecta a Ivanti Endpoint Manager (EPM) y que fue parcheada en mayo (CVE-2024-29824, puntuación CVSS: 9,6) en el Catálogo de vulnerabilidades explotadas conocidas (KEV).