Menos de dos semanas después de corregir una falla, Ivanti anunció el 19 de septiembre que se estaba explotando una segunda vulnerabilidad crítica de Cloud Services Appliance (CSA).
Vulnerabilidad (CVE-2024-8963CVSS 9.4) es un recorrido de ruta en Ivanti CSA que permite a un atacante remoto no autenticado acceder a funciones restringidas. Los atacantes lo vincularon con la falla previamente revelada, CVE-2024-8190que es una falla de inyección de comandos del sistema operativo de alta gravedad que puede permitir el acceso no autorizado a los dispositivos. La cadena puede explotarse para la ejecución remota de código (RCE), si el atacante tiene privilegios de nivel de administrador.
«Si CVE-2024-8963 se utiliza junto con CVE-2024-8190 «Un atacante puede eludir la autenticación del administrador y ejecutar comandos arbitrarios en el dispositivo», dijo la compañía.
Esta noticia llega en medio de una serie de problemas de seguridad que Ivanti enfrenta desde 2023.
No es el primero y probablemente no será el último.
Sólo este año, Ivanti se ha enfrentado a una infracción tras otra; en febrero, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ordenó Ivanti VPN Los dispositivos fueron desconectados, reconstruidos y reconfigurados en 48 horas, después de que surgieran preocupaciones de que múltiples actores maliciosos estaban explotando fallas de seguridad encontradas en los sistemas.
En abril, piratas informáticos de estados extranjeros se aprovecharon de los vulnerables dispositivos de puerta de enlace de Ivanti y MITRA atacadaponiendo fin a su racha de 15 años sin incidentes. Y MITRE no estaba solo en esto, ya que miles de instancias de Ivanti VPN se vieron comprometidos debido a dos vulnerabilidades de día cero sin parches.
Y en agosto, Administrador de tráfico virtual de Ivanti (vTM) contenía una vulnerabilidad crítica que podría haber llevado a la omisión de autenticación y la creación de un usuario administrador sin el parche proporcionado por la empresa.
«Estas vulnerabilidades conocidas pero sin parches se han convertido en el objetivo principal de los atacantes porque son fáciles de explotar y, a menudo, las organizaciones no tienen idea de que los dispositivos con sistemas EOL todavía se están ejecutando en su red», dijo Greg Fitzgerald, cofundador de Sevco Security, en una declaración enviada por correo electrónico a Dark Reading.
Protección en caso de tormenta en curso
Para mitigar esta amenaza, Ivanti recomienda que sus clientes actualicen Ivanti CSA 4.6 a CSA 5.0. También pueden actualizar CSA 4.6 parche 518 al parche 519. Sin embargo, este producto ha llegado al final de su vida útil, por lo que se recomienda actualizar a CSA 5.0.
Además de esto, Ivanti recomienda que todos los clientes garanticen configuraciones CSA de hogar dual con eth0 como red interna.
Los clientes deben revisar el CSA de los administradores modificados o agregados recientemente si les preocupa que puedan haber sido comprometidos. Si los usuarios tienen instalado EndpointDetection and Response (EDR), se recomienda revisar también estas alertas.
Los usuarios pueden solicitar ayuda o hacer preguntas registrando un caso o solicitando una llamada a través del Portal de Éxito de Ivanti.
