Ciberseguridad 360 | Vulnerabilidades Zero-Day de Ivanti CSA bajo explotación

Ivanti ha advertido de que tres nuevas vulnerabilidades de seguridad que afectan a su Cloud Service Appliance (CSA) han sido objeto de explotaci�n activa en la naturaleza.

Seg�n el proveedor de servicios de software con sede en Utah, los fallos zero-days se est�n aprovechando junto con otro fallo de CSA que la empresa parche� el mes pasado.

La explotaci�n exitosa de estas vulnerabilidades podr�a permitir a un atacante autenticado con privilegios de administrador saltarse las restricciones, ejecutar sentencias SQL arbitrarias u obtener la ejecuci�n remota de c�digo.

"Tenemos conocimiento de un n�mero limitado de clientes que ejecutan CSA 4.6 parche 518 y anteriores que han sido explotados cuando CVE-2024-9379, CVE-2024-9380, o CVE-2024-9381 se encadenan con CVE-2024-8963", dijo la compa��a.

No hay pruebas de explotaci�n contra entornos de clientes que ejecuten CSA 5.0. Una breve descripci�n de las tres deficiencias es la siguiente:

CVE-2024-9379 (CVSS score: 6.5): Una inyecci�n SQL en la consola web de administraci�n de Ivanti CSA antes de la versi�n 5.0.2 permite a un atacante remoto autenticado con privilegios de administrador ejecutar sentencias SQL arbitrarias.

CVE-2024-9380 (puntuaci�n CVSS: 7.2): Una vulnerabilidad de inyecci�n de comandos del sistema operativo (SO) en la consola web de administraci�n de Ivanti CSA antes de la versi�n 5.0.2 permite a un atacante remoto autenticado con privilegios de administrador obtener la ejecuci�n remota de c�digo.

CVE-2024-9381 (puntuaci�n CVSS: 7.2) : Un path traversal en Ivanti CSA antes de la versi�n 5.0.2 permite a un atacante remoto autenticado con privilegios de administrador saltarse las restricciones.

Los ataques observados por Ivanti consisten en combinar los fallos mencionados con CVE-2024-8963 (puntuaci�n CVSS: 9,4), una vulnerabilidad cr�tica que permite a un atacante remoto no autenticado acceder a funciones restringidas.

Ivanti se�al� que descubri� los tres nuevos fallos como parte de su investigaci�n sobre la explotaci�n de CVE-2024-8963 y CVE-2024-8190 (puntuaci�n CVSS: 7,2), otro fallo de inyecci�n de comandos del sistema operativo ya parcheado en CSA que tambi�n ha sido objeto de abusos.

Adem�s de actualizar a la �ltima versi�n (5.0.2), la empresa recomienda a los usuarios que revisen el dispositivo en busca de usuarios administrativos modificados o a�adidos recientemente para buscar signos de compromiso, o que comprueben las alertas de las herramientas de detecci�n y respuesta de puntos finales (EDR) instaladas en el dispositivo.

El desarrollo se produce menos de una semana despu�s de que la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) a�adiera el mi�rcoles un fallo de seguridad que afectaba a Ivanti Endpoint Manager (EPM) y que fue corregido en mayo (CVE-2024-29824, puntuaci�n CVSS: 9,6) al cat�logo de Vulnerabilidades Explotadas Conocidas (KEV).

Fuente: thehackernews