零日警报:三个关键的 Ivanti CSA 漏洞正被积极利用
Ivanti 发出警告称,影响其云服务设备 (CSA) 的三个新的安全漏洞已遭到广泛利用。
Ivanti 发出警告称,影响其云服务设备 (CSA) 的三个新的安全漏洞已遭到广泛利用。
这家总部位于犹他州的软件服务提供商表示,这些零日漏洞正与该公司上个月修补的 CSA 的另一个漏洞一起被用作武器。
成功利用这些漏洞可以允许具有管理员权限的经过身份验证的攻击者绕过限制,运行任意 SQL 语句,或获取远程代码执行。
该公司表示:“我们了解到,运行 CSA 4.6 patch 518 及之前版本的少数客户在 CVE-2024-9379、CVE-2024-9380 或 CVE-2024-9381 与 CVE-2024-8963 结合时遭到利用。”
目前没有证据表明运行 CSA 5.0 的客户环境存在漏洞。以下简要介绍这三个缺陷:
CVE-2024-9379(CVSS 评分:6.5)- Ivanti CSA 5.0.2 版本之前的管理 Web 控制台中的 SQL 注入允许具有管理员权限的远程经过身份验证的攻击者运行任意 SQL 语句
CVE-2024-9380(CVSS 评分:7.2)- Ivanti CSA 5.0.2 版本之前的管理 Web 控制台中存在操作系统 (OS) 命令注入漏洞,允许具有管理员权限的远程经过身份验证的攻击者获取远程代码执行权限
CVE-2024-9381(CVSS 分数:7.2)- 版本 5.0.2 之前的 Ivanti CSA 中的路径遍历允许具有管理员权限的远程经过身份验证的攻击者绕过限制。
Ivanti 观察到的攻击涉及将上述缺陷与CVE-2024-8963(CVSS 评分:9.4)相结合,CVE-2024-8963 是一个关键路径遍历漏洞,允许远程未经身份验证的攻击者访问受限功能。
Ivanti 表示,它是在对 CVE-2024-8963 和CVE-2024-8190 (CVSS 评分:7.2)利用情况的调查中发现了这三个新漏洞,CSA 中另一个现已修补的操作系统命令注入漏洞也曾在野外遭到滥用。
除了更新到最新版本(5.0.2)之外,该公司还建议用户检查设备中是否有修改或新添加的管理用户,以寻找受到入侵的迹象,或者检查设备上安装的端点检测和响应(EDR)工具发出的警报。
不到一周前,美国网络安全和基础设施安全局 (CISA) 于周三将影响 Ivanti Endpoint Manager (EPM) 的安全漏洞(CVE-2024-29824,CVSS 评分:9.6)添加到已知利用漏洞 (KEV) 目录中,该漏洞已于 5 月修复。
这家总部位于犹他州的软件服务提供商表示,这些零日漏洞正与该公司上个月修补的 CSA 的另一个漏洞一起被用作武器。
成功利用这些漏洞可以允许具有管理员权限的经过身份验证的攻击者绕过限制,运行任意 SQL 语句,或获取远程代码执行。
该公司表示:“我们了解到,运行 CSA 4.6 patch 518 及之前版本的少数客户在 CVE-2024-9379、CVE-2024-9380 或 CVE-2024-9381 与 CVE-2024-8963 结合时遭到利用。”
目前没有证据表明运行 CSA 5.0 的客户环境存在漏洞。以下简要介绍这三个缺陷:
CVE-2024-9380(CVSS 评分:7.2)- Ivanti CSA 5.0.2 版本之前的管理 Web 控制台中存在操作系统 (OS) 命令注入漏洞,允许具有管理员权限的远程经过身份验证的攻击者获取远程代码执行权限
CVE-2024-9381(CVSS 分数:7.2)- 版本 5.0.2 之前的 Ivanti CSA 中的路径遍历允许具有管理员权限的远程经过身份验证的攻击者绕过限制。
Ivanti 观察到的攻击涉及将上述缺陷与CVE-2024-8963(CVSS 评分:9.4)相结合,CVE-2024-8963 是一个关键路径遍历漏洞,允许远程未经身份验证的攻击者访问受限功能。
Ivanti 表示,它是在对 CVE-2024-8963 和CVE-2024-8190 (CVSS 评分:7.2)利用情况的调查中发现了这三个新漏洞,CSA 中另一个现已修补的操作系统命令注入漏洞也曾在野外遭到滥用。
除了更新到最新版本(5.0.2)之外,该公司还建议用户检查设备中是否有修改或新添加的管理用户,以寻找受到入侵的迹象,或者检查设备上安装的端点检测和响应(EDR)工具发出的警报。
不到一周前,美国网络安全和基础设施安全局 (CISA) 于周三将影响 Ivanti Endpoint Manager (EPM) 的安全漏洞(CVE-2024-29824,CVSS 评分:9.6)添加到已知利用漏洞 (KEV) 目录中,该漏洞已于 5 月修复。
关于作者
评论0次