IvantiIvanti هشدار داده است که سه آسیب‌پذیری امنیتی جدید که بر Cloud Service Appliance (CSA) تأثیر می‌گذارند، در سطح اینترنت مورد بهره‌برداری فعال قرارگرفته‌اند.

این ارائه‌دهنده خدمات نرم‌افزاری مستقر در یوتا گفت که نقص‌های روز صفر همراه با نقص دیگری در CSA که این شرکت در ماه گذشته اصلاح کرد، مورداستفاده قرار می‌گیرد.

بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری‌ها می‌تواند به یک مهاجم احراز هویت شده با امتیازات مدیریت اجازه دهد تا محدودیت‌ها را دور بزند، دستورات SQL دلخواه را اجرا کند یا اجرای کد از راه دور را دریافت کند.

این شرکت دراین‌باره گفت[۱]: “ما می‌دانیم که تعداد محدودی از مشتریانی که از وصله ۵۱۸ از نسخه ۶/۴ و قبل‌ترِ CSA استفاده می‌کردند، توسط بهره‌برداری زنجیره‌ای از CVE-2024-9379، CVE-2024-9380، یا CVE-2024-9381 با CVE-2024-8963 مورد سوءاستفاده قرارگرفته‌اند.”

هیچ مدرکی دال بر بهره‌برداری از محیط‌های مشتری که نسخه ۰/۵ از CSA اجرا می‌کنند وجود ندارد. شرح مختصری[۲] از سه آسیب‌پذیری به شرح زیر است:

  • CVE-2024-9379 (امتیاز ۵/۶ در مقیاس CVSS) – تزریق SQL در کنسول وب مدیریت Ivanti CSA قبل از نسخه ۵٫۰٫۲ به مهاجم احراز هویت از راه دور با امتیازات مدیر اجازه می‌دهد تا دستورات SQL دلخواه را اجرا کند.
  • CVE-2024-9380 (امتیاز ۲/۷ در مقیاس CVSS) – یک آسیب‌پذیری تزریق فرمان سیستم‌عامل (OS) در کنسول وب مدیریت Ivanti CSA قبل از نسخه ۵٫۰٫۲ به مهاجم تأییدشده از راه دور با امتیازات مدیر اجازه می‌دهد تا اجرای کد از راه دور را به دست آورد.
  • CVE-2024-9381 (امتیاز ۲/۷ در مقیاس CVSS) – پیمایش مسیر در Ivanti CSA قبل از نسخه ۵٫۰٫۲ به مهاجم احراز هویت از راه دور با امتیازات سرپرست اجازه می‌دهد تا محدودیت‌ها را دور بزند.

حملات مشاهده‌شده توسط Ivanti شامل ترکیب عیوب ذکرشده با CVE-2024-8963 (امتیاز ۴/۹ در مقیاس CVSS)، یک آسیب‌پذیری عبوری مسیر بحرانی است[۳] که به مهاجم تأیید نشده از راه دور اجازه می‌دهد به عملکرد محدود دسترسی پیدا کند.

Ivanti گفت که سه نقص جدید را به‌عنوان بخشی از تحقیقات خود در مورد بهره‌برداری از CVE-2024-8963 و CVE-2024-8190 (امتیاز ۲/۷ در مقیاس CVSS) را در سطح اینترنت کشف کرده است[۴].

علاوه بر به‌روزرسانی به آخرین نسخه (۵٫۰٫۲)، این شرکت به کاربران توصیه می‌کند که دستگاه را برای کاربران مدیریتی اصلاح‌شده یا جدید اضافه‌شده بررسی کنند تا به دنبال نشانه‌هایی از سازش باشند، یا هشدارهای ابزارهای تشخیص و پاسخ نقطه پایانی (EDR) نصب‌شده روی آن دستگاه را بررسی کنند.

این توسعه کمتر از یک هفته پس‌ازآن صورت می‌گیرد که آژانس امنیت سایبری و امنیت زیرساخت ایالات‌متحده (CISA) روز چهارشنبه یک نقص امنیتی را که بر مدیریت نقطه پایانی Ivanti (EPM) تأثیر می‌گذاشت که در ماه می (CVE-2024-29824، امتیاز ۶/۹ در مقیاس CVSS) برطرف شد، به کاتالوگ آسیب‌پذیری‌های شناخته‌شده (KEV) اضافه کرد[۵].

منابع

[۱] https://www.ivanti.com/blog/october-2024-security-update

[۲] https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-CSA-Cloud-Services-Appliance-CVE-2024-9379-CVE-2024-9380-CVE-2024-9381?language=en_US

[۳] https://thehackernews.com/2024/09/critical-ivanti-cloud-appliance.html

[۴] https://thehackernews.com/2024/09/ivanti-warns-of-active-exploitation-of.html

[۵] https://thehackernews.com/2024/10/ivanti-endpoint-manager-flaw-actively.html

[۶] https://thehackernews.com/2024/10/zero-day-alert-three-critical-ivanti.html