三个新的Ivanti CSA零日在攻击中被积极利用

Ivanti 警告称,其云服务设备 (CSA) 中存在三个新的安全漏洞(CVE-2024-9379、CVE-2024-9380 和 CVE-2024-9381),这些漏洞在野外攻击中被积极利用。

以下是这三个漏洞的描述:

CVE-2024-9379(CVSS 得分为 6.5)- 在 5.0.2 版之前的 Ivanti CSA 的管理 Web 控制台中存在 SQL 注入。具有管理员权限的远程验证攻击者可利用此漏洞运行任意 SQL 语句。
CVE-2024-9380 (CVSS 得分 7.2) – 版本 5.0.2 之前的 Ivanti CSA 管理員網頁主控台中的作業系統指令注入漏洞。具有管理權限的遠端認證攻擊者可利用此漏洞執行遠端程式碼。
CVE-2024-9381 (CVSS 得分 7.2) – 在版本 5.0.2 之前的 Ivanti CSA 中存在路径遍历问题。具有管理员权限的远程验证攻击者可利用该漏洞绕过限制。

威胁者将这三个漏洞与该软件公司在 9 月份解决的 CSA 零日漏洞 CVE-2024-8963(CVSS 得分为 9.4)串联起来。

威胁者可以利用这些漏洞实施 SQL 注入攻击,通过命令注入执行任意代码,以及通过滥用易受攻击的 CSA 网关上的路径遍历弱点绕过安全限制。

“Ivanti 发布的公告中写道:”据我们所知,当 CVE-2024-9379、CVE-2024-9380 或 CVE-2024-9381 与 CVE-2024-8963 相连时,运行 CSA 4.6 补丁 518 及以前版本的少数客户已被利用。“我们没有证据表明任何其他漏洞在野外被利用。这些漏洞不会影响任何其他 Ivanti 产品或解决方案。

该公司没有发现针对运行 CSA 5.0 的客户的攻击。

“Ivanti建议审查CSA中修改或新添加的管理用户。虽然不一致,但有些尝试可能会显示在系统本地的代理日志中。如果您在 CSA 上安装了 EDR 或其他安全工具,我们还建议您查看 EDR 警报。由于这是一个边缘设备,Ivanti 强烈建议使用分层安全方法,并在 CSA 上安装 EDR 工具。“如果您怀疑受到入侵,Ivanti 建议您使用 5.0.2 版本重建 CSA。

客户应升级到 CSA 5.0.2 以修复漏洞。

除了升级到最新版本(5.0.2)外,该公司还建议用户检查设备上是否有修改过或新添加的管理用户,以寻找入侵迹象,或检查设备上安装的端点检测和响应(EDR)工具是否发出警报。

9 月,美国网络安全和基础设施安全局(CISA)将 Ivanti Cloud Services Appliance 路径遍历漏洞 CVE-2024-8190(CVSS 得分为 9.4)添加到其已知漏洞(KEV)目录中。

Ivanti 警告称,CVE-2024-8963(CVSS 得分为 9.4)是一个新的 Cloud Services Appliance (CSA) 漏洞,在针对少数客户的野外攻击中被积极利用。该漏洞是一个路径遍历安全问题。

未经认证的远程攻击者可利用该漏洞访问受限功能。攻击者可将此问题与 CVE-2024-8190 相结合,绕过管理员身份验证,在设备上执行任意命令。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐