Table of Contents
Análise das Vulnerabilidades na Ivanti Cloud Service Appliance
Recentemente, a Ivanti alertou sobre a descoberta de três novas vulnerabilidades de segurança que estão impactando seu produto Cloud Service Appliance (CSA) e que já estão sendo ativamente exploradas na natureza. Este evento destaca a importância da segurança cibernética em um contexto em que as organizações dependem cada vez mais de serviços baseados na nuvem.
Natureza das Vulnerabilidades
As falhas, identificadas como CVE-2024-9379, CVE-2024-9380 e CVE-2024-9381, são consideradas como zero-day. Elas estão associadas a outra vulnerabilidade, CVE-2024-8963, que foi corrigida no mês anterior. O fenômeno da exploração em cadeia destas vulnerabilidades é preocupante, uma vez que pode permitir ações devastadoras por atacantes qualificados.
“Estamos cientes de um número limitado de clientes utilizando o CSA 4.6 patch 518 e versões anteriores que foram explorados quando as vulnerabilidades CVE-2024-9379, CVE-2024-9380 ou CVE-2024-9381 foram combinadas com CVE-2024-8963.”
Impactos Potenciais
A exploração bem-sucedida dessas vulnerabilidades pode permitir que um atacante autenticado com privilégios de administrador:
- Contorne restrições impostas;
- Execute declarações SQL arbitrárias;
- Obtenha a execução remota de código.
Descrição das Vulnerabilidades
Abaixo estão descritas as características de cada uma das vulnerabilidades citadas:
- CVE-2024-9379 (pontuação CVSS: 6.5) – Vulnerabilidade de injeção SQL na console web de administração do Ivanti CSA antes da versão 5.0.2, permitindo que um atacante remoto autenticado com privilégios de administrador execute instruções SQL arbitrárias.
- CVE-2024-9380 (pontuação CVSS: 7.2) – Vulnerabilidade de injeção de comando do sistema operacional (OS) na console web de administração do Ivanti CSA antes da versão 5.0.2, permitindo que um atacante remoto autenticado com privilégios de administrador obtenha a execução remota de código.
- CVE-2024-9381 (pontuação CVSS: 7.2) – Vulnerabilidade de travessia de caminho no Ivanti CSA antes da versão 5.0.2, permitindo que um atacante remoto autenticado com privilégios de administrador contorne restrições impostas.
Contexto de Exploração
A Ivanti identificou essas três novas falhas durante uma investigação sobre a exploração de CVE-2024-8963 (pontuação CVSS: 9.4), que é uma vulnerabilidade crítica de travessia de caminho, permitindo que um atacante remoto não autenticado acesse funcionalidades restritas. Além disso, menciona-se o CVE-2024-8190 (pontuação CVSS: 7.2), outra falha de injeção de comando OS que também foi abusada.
Recomendações da Ivanti
Em resposta a essas descobertas, a Ivanti recomenda que os usuários:
- Atualizem para a versão mais recente do CSA (5.0.2);
- Revejam o appliance em busca de usuários administrativos modificados ou recém-adicionados para identificar sinais de comprometimento;
- Verifiquem alertas de ferramentas de detecção e resposta de endpoint (EDR) instaladas no dispositivo.
Implicações para a Segurança Cibernética
O alerta da Ivanti surge em um momento crítico, menos de uma semana após a Cybersecurity and Infrastructure Security Agency (CISA) dos EUA adicionar uma vulnerabilidade relacionada ao Ivanti Endpoint Manager ao catálogo de vulnerabilidades conhecidas exploradas (KEV).
A complacência em relação a essas atualizações e ajustes de segurança pode resultar em consequências severas para as organizações, tornando essencial que as mesmas adotem uma postura proativa em relação à segurança cibernética.
#Ivanti #Vulnerabilidades #Cibersegurança #CloudServiceAppliance #Segurança #ZeroDay
autor ref: The Hacker News
ref:https://thehackernews.com/2024/10/zero-day-alert-three-critical-ivanti.html