三个新的Ivanti CSA零日在攻击中被积极利用

Ivanti 警告称，其云服务设备 (CSA) 中存在三个新的安全漏洞（CVE-2024-9379、CVE-2024-9380 和 CVE-2024-9381），这些漏洞在野外攻击中被积极利用。

以下是这三个漏洞的描述：

CVE-2024-9379（CVSS 得分为 6.5）- 在 5.0.2 版之前的 Ivanti CSA 的管理 Web 控制台中存在 SQL 注入。具有管理员权限的远程验证攻击者可利用此漏洞运行任意 SQL 语句。
CVE-2024-9380 (CVSS 得分 7.2) – 版本 5.0.2 之前的 Ivanti CSA 管理員網頁主控台中的作業系統指令注入漏洞。具有管理權限的遠端認證攻擊者可利用此漏洞執行遠端程式碼。
CVE-2024-9381 (CVSS 得分 7.2) – 在版本 5.0.2 之前的 Ivanti CSA 中存在路径遍历问题。具有管理员权限的远程验证攻击者可利用该漏洞绕过限制。

威胁者将这三个漏洞与该软件公司在 9 月份解决的 CSA 零日漏洞 CVE-2024-8963（CVSS 得分为 9.4）串联起来。

威胁者可以利用这些漏洞实施 SQL 注入攻击，通过命令注入执行任意代码，以及通过滥用易受攻击的 CSA 网关上的路径遍历弱点绕过安全限制。

“Ivanti 发布的公告中写道：”据我们所知，当 CVE-2024-9379、CVE-2024-9380 或 CVE-2024-9381 与 CVE-2024-8963 相连时，运行 CSA 4.6 补丁 518 及以前版本的少数客户已被利用。“我们没有证据表明任何其他漏洞在野外被利用。这些漏洞不会影响任何其他 Ivanti 产品或解决方案。

该公司没有发现针对运行 CSA 5.0 的客户的攻击。

“Ivanti建议审查CSA中修改或新添加的管理用户。虽然不一致，但有些尝试可能会显示在系统本地的代理日志中。如果您在 CSA 上安装了 EDR 或其他安全工具，我们还建议您查看 EDR 警报。由于这是一个边缘设备，Ivanti 强烈建议使用分层安全方法，并在 CSA 上安装 EDR 工具。“如果您怀疑受到入侵，Ivanti 建议您使用 5.0.2 版本重建 CSA。

客户应升级到 CSA 5.0.2 以修复漏洞。

除了升级到最新版本（5.0.2）外，该公司还建议用户检查设备上是否有修改过或新添加的管理用户，以寻找入侵迹象，或检查设备上安装的端点检测和响应（EDR）工具是否发出警报。

9 月，美国网络安全和基础设施安全局（CISA）将 Ivanti Cloud Services Appliance 路径遍历漏洞 CVE-2024-8190（CVSS 得分为 9.4）添加到其已知漏洞（KEV）目录中。

Ivanti 警告称，CVE-2024-8963（CVSS 得分为 9.4）是一个新的 Cloud Services Appliance (CSA) 漏洞，在针对少数客户的野外攻击中被积极利用。该漏洞是一个路径遍历安全问题。

未经认证的远程攻击者可利用该漏洞访问受限功能。攻击者可将此问题与 CVE-2024-8190 相结合，绕过管理员身份验证，在设备上执行任意命令。