Ivanti telah memperingatkan bahwa tiga kerentanan keamanan baru yang berdampak pada Cloud Service Appliance (CSA) miliknya telah dieksploitasi secara aktif.
Kelemahan zero-day dijadikan senjata bersama dengan kelemahan lain dalam CSA yang ditambal perusahaan bulan lalu, kata penyedia layanan perangkat lunak yang berbasis di Utah.
Eksploitasi kerentanan ini yang berhasil dapat memungkinkan penyerang terotentikasi dengan hak istimewa admin untuk melewati batasan, menjalankan pernyataan SQL sewenang-wenang, atau mendapatkan eksekusi kode jarak jauh.
“Kami mengetahui sejumlah pelanggan yang menjalankan CSA 4.6 patch 518 dan sebelumnya yang telah dieksploitasi ketika CVE-2024-9379, CVE-2024-9380 atau CVE-2024-9381 dirangkai dengan CVE-2024-8963,” kata perusahaan.
Tidak ada bukti eksploitasi terhadap lingkungan pelanggan yang menjalankan CSA 5.0. Penjelasan singkat mengenai ketiga kekurangan tersebut adalah sebagai berikut –
- CVE-2024-9379 (Skor CVSS: 6.5) – Injeksi SQL di konsol web admin Ivanti CSA sebelum versi 5.0.2 memungkinkan penyerang yang diautentikasi jarak jauh dengan hak istimewa admin untuk menjalankan pernyataan SQL sewenang-wenang
- CVE-2024-9380 (Skor CVSS: 7.2) – Kerentanan injeksi perintah sistem operasi (OS) di konsol web admin Ivanti CSA sebelum versi 5.0.2 memungkinkan penyerang yang diautentikasi jarak jauh dengan hak istimewa admin untuk mendapatkan eksekusi kode jarak jauh
- CVE-2024-9381 (Skor CVSS: 7.2) – Penelusuran jalur di Ivanti CSA sebelum versi 5.0.2 memungkinkan penyerang yang diautentikasi jarak jauh dengan hak istimewa admin untuk melewati batasan.
Serangan yang diamati oleh Ivanti melibatkan penggabungan kelemahan yang disebutkan di atas dengan CVE-2024-8963 (skor CVSS: 9.4), kerentanan traversal jalur kritis yang memungkinkan penyerang jarak jauh yang tidak diautentikasi mengakses fungsionalitas terbatas.
Ivanti mengatakan pihaknya menemukan tiga kelemahan baru ini sebagai bagian dari penyelidikannya terhadap eksploitasi CVE-2024-8963 dan CVE-2024-8190 (skor CVSS: 7.2), bug injeksi perintah OS lainnya yang kini telah ditambal di CSA yang juga telah disalahgunakan. di alam liar.
Selain memperbarui ke versi terbaru (5.0.2), perusahaan merekomendasikan pengguna untuk meninjau alat untuk pengguna administratif yang dimodifikasi atau baru ditambahkan untuk mencari tanda-tanda penyusupan, atau memeriksa peringatan dari alat deteksi dan respons titik akhir (EDR) yang diinstal pada perangkat.
Perkembangan ini terjadi kurang dari seminggu setelah Badan Keamanan Siber dan Infrastruktur AS (CISA) pada hari Rabu menambahkan kelemahan keamanan yang berdampak pada Ivanti Endpoint Manager (EPM) yang diperbaiki pada bulan Mei (CVE-2024-29824, skor CVSS: 9.6) ke dalam Katalog Kerentanan yang Dieksploitasi (KEV) yang Diketahui.