Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) pada hari Senin menambahkan lima kelemahan keamanan yang berdampak pada Veracore yang menguntungkan dan Ivanti Endpoint Manager (EPM) ke katalog kerentanan yang diketahui dieksploitasi (KEV), berdasarkan bukti eksploitasi aktif di alam liar.
Daftar kerentanan adalah sebagai berikut –
- CVE-2024-57968 – Kerentanan unggahan file yang tidak dibatasi di Veracore yang menguntungkan yang memungkinkan penyerang jarak jauh yang tidak aautentikasi untuk mengunggah file ke folder yang tidak diinginkan melalui unggahan.apsx
- CVE-2025-25181 – Kerentanan injeksi SQL dalam veracore yang menguntungkan yang memungkinkan penyerang jarak jauh untuk menjalankan perintah SQL sewenang -wenang
- CVE-2024-13159 – Kerentanan traversal jalur absolut di Ivanti EPM yang memungkinkan penyerang jarak jauh yang tidak otentikasi untuk membocorkan informasi sensitif
- CVE-2024-13160 – Kerentanan traversal jalur absolut di Ivanti EPM yang memungkinkan penyerang jarak jauh yang tidak otentikasi untuk membocorkan informasi sensitif
- CVE-2024-13161 – Kerentanan traversal jalur absolut di Ivanti EPM yang memungkinkan penyerang yang tidak terautentikasi jauh untuk membocorkan informasi sensitif
Eksploitasi kerentanan Veracore telah dikaitkan dengan kemungkinan aktor ancaman Vietnam bernama XE Group, yang telah diamati menjatuhkan cangkang terbalik dan kerang web untuk mempertahankan akses jarak jauh yang persisten ke sistem yang dikompromikan.
Di sisi lain, saat ini tidak ada laporan publik tentang bagaimana tiga kelemahan EPM Ivanti sedang dipersenjatai dalam serangan dunia nyata. Eksploitasi Proof-of-Concept (POC) dirilis oleh Horizon3.ai bulan lalu. Perusahaan cybersecurity menggambarkan mereka sebagai bug “paksaan kredensial” yang dapat memungkinkan penyerang yang tidak otentikasi untuk mengkompromikan server.
Mengingat eksploitasi aktif, sangat penting bahwa agensi Cabang Eksekutif Sipil Federal (FCEB) menerapkan tambalan yang diperlukan pada tanggal 31 Maret 2025.
Perkembangan ini terjadi ketika perusahaan intelijen ancaman Greynose memperingatkan eksploitasi massal CVE-2024-4577, kerentanan kritis yang berdampak pada PHP-CGI, dengan lonjakan aktivitas serangan yang menargetkan Jepang, Singapura, Indonesia, Inggris, Spanyol, dan India.
“Lebih dari 43% IP yang menargetkan CVE-2024-4577 dalam 30 hari terakhir berasal dari Jerman dan Cina,” kata Greynoise, menambahkannya “mendeteksi lonjakan terkoordinasi dalam upaya eksploitasi terhadap jaringan di berbagai negara, menunjukkan pemindaian otomatis tambahan untuk target yang rentan” pada bulan Februari.
