找回密码 立即注册
查看: 163|回复: 0

三个新的Ivanti CSA零日在攻击中被积极利用

[复制链接]

412

主题

1381

回帖

4175

积分

卡卡巡查

积分
4175
发表于 2024-10-10 13:11:07 | 显示全部楼层 |阅读模式
Ivanti 警告称,其云服务设备 (CSA) 中存在三个新的安全漏洞(CVE-2024-9379、CVE-2024-9380 和 CVE-2024-9381),这些漏洞在野外攻击中被积极利用。




以下是这三个漏洞的描述:

CVE-2024-9379(CVSS 得分为 6.5)- 在 5.0.2 版之前的 Ivanti CSA 的管理 Web 控制台中存在 SQL 注入。具有管理员权限的远程验证攻击者可利用此漏洞运行任意 SQL 语句。
CVE-2024-9380 (CVSS 得分 7.2) – 版本 5.0.2 之前的 Ivanti CSA 管理員網頁主控台中的作業系統指令注入漏洞。具有管理權限的遠端認證攻擊者可利用此漏洞執行遠端程式碼。
CVE-2024-9381 (CVSS 得分 7.2) – 在版本 5.0.2 之前的 Ivanti CSA 中存在路径遍历问题。具有管理员权限的远程验证攻击者可利用该漏洞绕过限制。

威胁者将这三个漏洞与该软件公司在 9 月份解决的 CSA 零日漏洞 CVE-2024-8963(CVSS 得分为 9.4)串联起来。

威胁者可以利用这些漏洞实施 SQL 注入攻击,通过命令注入执行任意代码,以及通过滥用易受攻击的 CSA 网关上的路径遍历弱点绕过安全限制。

“Ivanti 发布的公告中写道:”据我们所知,当 CVE-2024-9379、CVE-2024-9380 或 CVE-2024-9381 与 CVE-2024-8963 相连时,运行 CSA 4.6 补丁 518 及以前版本的少数客户已被利用。“我们没有证据表明任何其他漏洞在野外被利用。这些漏洞不会影响任何其他 Ivanti 产品或解决方案。

该公司没有发现针对运行 CSA 5.0 的客户的攻击。

“Ivanti建议审查CSA中修改或新添加的管理用户。虽然不一致,但有些尝试可能会显示在系统本地的代理日志中。如果您在 CSA 上安装了 EDR 或其他安全工具,我们还建议您查看 EDR 警报。由于这是一个边缘设备,Ivanti 强烈建议使用分层安全方法,并在 CSA 上安装 EDR 工具。“如果您怀疑受到入侵,Ivanti 建议您使用 5.0.2 版本重建 CSA。

客户应升级到 CSA 5.0.2 以修复漏洞。

除了升级到最新版本(5.0.2)外,该公司还建议用户检查设备上是否有修改过或新添加的管理用户,以寻找入侵迹象,或检查设备上安装的端点检测和响应(EDR)工具是否发出警报。

9 月,美国网络安全和基础设施安全局(CISA)将 Ivanti Cloud Services Appliance 路径遍历漏洞 CVE-2024-8190(CVSS 得分为 9.4)添加到其已知漏洞(KEV)目录中。

Ivanti 警告称,CVE-2024-8963(CVSS 得分为 9.4)是一个新的 Cloud Services Appliance (CSA) 漏洞,在针对少数客户的野外攻击中被积极利用。该漏洞是一个路径遍历安全问题。

未经认证的远程攻击者可利用该漏洞访问受限功能。攻击者可将此问题与 CVE-2024-8190 相结合,绕过管理员身份验证,在设备上执行任意命令。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则


快速回复 返回顶部 返回列表