Ivanti telah mengungkap bahwa kelemahan keamanan yang baru saja ditambal dalam Cloud Service Appliance (CSA) miliknya telah dieksploitasi secara aktif di alam liar.
Kerentanan dengan tingkat keparahan tinggi yang dimaksud adalah CVE-2024-8190 (skor CVSS: 7.2), yang memungkinkan eksekusi kode jarak jauh dalam keadaan tertentu.
“Kerentanan injeksi perintah OS di Ivanti Cloud Services Appliance versi 4.6 Patch 518 dan sebelumnya memungkinkan penyerang yang diautentikasi dari jarak jauh untuk memperoleh eksekusi kode dari jarak jauh,” Ivanti mencatat dalam sebuah nasihat yang dirilis awal minggu ini. “Penyerang harus memiliki hak istimewa tingkat admin untuk mengeksploitasi kerentanan ini.”
Cacat tersebut memengaruhi Ivanti CSA 4.6, yang saat ini telah mencapai status akhir masa pakainya, yang mengharuskan pelanggan untuk memperbarui ke versi yang didukung untuk selanjutnya. Meskipun demikian, masalah ini telah diatasi dalam CSA 4.6 Patch 519.
“Dengan status akhir masa pakai, ini adalah perbaikan terakhir yang akan di-backport Ivanti untuk versi ini,” perusahaan perangkat lunak TI yang berbasis di Utah itu menambahkan. “Pelanggan harus meng-upgrade ke Ivanti CSA 5.0 untuk dukungan berkelanjutan.”
“CSA 5.0 adalah satu-satunya versi yang didukung dan tidak mengandung kerentanan ini. Pelanggan yang sudah menjalankan Ivanti CSA 5.0 tidak perlu melakukan tindakan tambahan apa pun.”
Pada hari Jumat, Ivanti memperbarui peringatannya dengan mencatat bahwa mereka mengamati eksploitasi kelemahan tersebut secara luas yang menargetkan “sejumlah kecil pelanggan.”
Ia tidak mengungkapkan rincian spesifik tambahan terkait serangan atau identitas pelaku ancaman yang menggunakannya, namun, sejumlah kerentanan lain dalam produk Ivanti telah dieksploitasi sebagai zero-day oleh kelompok spionase cyber China-nexus.
Perkembangan ini mendorong Badan Keamanan Siber dan Infrastruktur AS (CISA) untuk menambahkan kekurangan tersebut ke katalog Kerentanan yang Diketahui dan Dieksploitasi (KEV), yang mengharuskan lembaga federal untuk menerapkan perbaikan paling lambat tanggal 4 Oktober 2024.
Pengungkapan itu juga muncul saat perusahaan keamanan siber Horizon3.ai memposting analisis teknis terperinci tentang kerentanan deserialisasi kritis (CVE-2024-29847, skor CVSS: 10.0) yang memengaruhi Endpoint Manager (EPM) yang mengakibatkan eksekusi kode jarak jauh.