Ivanti 警告称,其云服务设备 (CSA) 中存在三个新的安全漏洞(CVE-2024-9379、CVE-2024-9380 和 CVE-2024-9381),这些漏洞在野外攻击中被积极利用。
以下是这三个漏洞的描述:
CVE-2024-9379(CVSS 得分为 6.5)- 在 5.0.2 版之前的 Ivanti CSA 的管理 Web 控制台中存在 SQL 注入。具有管理员权限的远程验证攻击者可利用此漏洞运行任意 SQL 语句。
CVE-2024-9380 (CVSS 得分 7.2) – 版本 5.0.2 之前的 Ivanti CSA 管理員網頁主控台中的作業系統指令注入漏洞。具有管理權限的遠端認證攻擊者可利用此漏洞執行遠端程式碼。
CVE-2024-9381 (CVSS 得分 7.2) – 在版本 5.0.2 之前的 Ivanti CSA 中存在路径遍历问题。具有管理员权限的远程验证攻击者可利用该漏洞绕过限制。
威胁者将这三个漏洞与该软件公司在 9 月份解决的 CSA 零日漏洞 CVE-2024-8963(CVSS 得分为 9.4)串联起来。
威胁者可以利用这些漏洞实施 SQL 注入攻击,通过命令注入执行任意代码,以及通过滥用易受攻击的 CSA 网关上的路径遍历弱点绕过安全限制。
“Ivanti 发布的公告中写道:”据我们所知,当 CVE-2024-9379、CVE-2024-9380 或 CVE-2024-9381 与 CVE-2024-8963 相连时,运行 CSA 4.6 补丁 518 及以前版本的少数客户已被利用。“我们没有证据表明任何其他漏洞在野外被利用。这些漏洞不会影响任何其他 Ivanti 产品或解决方案。
该公司没有发现针对运行 CSA 5.0 的客户的攻击。
“Ivanti建议审查CSA中修改或新添加的管理用户。虽然不一致,但有些尝试可能会显示在系统本地的代理日志中。如果您在 CSA 上安装了 EDR 或其他安全工具,我们还建议您查看 EDR 警报。由于这是一个边缘设备,Ivanti 强烈建议使用分层安全方法,并在 CSA 上安装 EDR 工具。“如果您怀疑受到入侵,Ivanti 建议您使用 5.0.2 版本重建 CSA。
客户应升级到 CSA 5.0.2 以修复漏洞。
除了升级到最新版本(5.0.2)外,该公司还建议用户检查设备上是否有修改过或新添加的管理用户,以寻找入侵迹象,或检查设备上安装的端点检测和响应(EDR)工具是否发出警报。
9 月,美国网络安全和基础设施安全局(CISA)将 Ivanti Cloud Services Appliance 路径遍历漏洞 CVE-2024-8190(CVSS 得分为 9.4)添加到其已知漏洞(KEV)目录中。
Ivanti 警告称,CVE-2024-8963(CVSS 得分为 9.4)是一个新的 Cloud Services Appliance (CSA) 漏洞,在针对少数客户的野外攻击中被积极利用。该漏洞是一个路径遍历安全问题。
未经认证的远程攻击者可利用该漏洞访问受限功能。攻击者可将此问题与 CVE-2024-8190 相结合,绕过管理员身份验证,在设备上执行任意命令。