Kritiska sårbarheter i Ivanti-produkter
Ivanti har släppt säkerhetsuppdateringar som lagar kritiska och allvarliga sårbarheter i Ivanti Endpoint Manager (EPM), Cloud Service Appliance (CSA) och Workspace Control. Flera av bristerna lämnar system sårbara för RCE. [1]
Totalt åtgärdas 16 säkerhetsbrister i Endpoint Manager (EPM) varav tio rankas som kritiska. Den mest allvarliga är en sårbarhet i agentportalen som tillåter en oautentiserad användare att fjärrexekvera godtycklig kod på servernivå. Sårbarheten har beteckningen CVE-2024-29847 och rankar 10 av 10 på CVSS-skalan. [2]
Ytterligare en av de mer allvarliga sårbarheterna i EPM är CVE-2024-37397, som vid framgångsrikt utnyttjande tillåter en oautentiserad fjärranvändare att komma åt API-hemligheter genom att utnyttja en XXE-sårbarhet (External XML Entity). [2]
I Ivanti Cloud Service Appliance (CSA) rättas OS-kommandoinjektionssårbarheten CVE-2024-8190 som kan leda till RCE. Ett framgångsrikt angrepp förutsätter dock en autentiserad angripare med administratörsrättigheter. [3]
Ivanti har även släppt säkerhetsuppdateringar för sex kritiska sårbarheter i Ivanti Workspace Control. Säkerhetsbristerna kan utnyttjas för att till exempel uppnå privilegieeskalering eller fjärrexekvering av godtycklig kod. [4]
Uppdatering 2024-09-16
Sårbarheten i Cloud Service Appliance (CVE-2024-8190) utnyttjas nu aktivt. [5]
Uppdatering 2024-09-20
Ivanti har gått ut med information om att en kritisk sårbarhet (CVE-2024-8963, CVSS-klassificering 9,4) rättades i produkten Ivanti Cloud Service Appliance i samband med att sårbarheten CVE-2024-8190 rättades den 10 september [3]. Sårbarheterna kan utnyttjas tillsammans av en angripare för att kringå autentiseringkontroller och fjärrköra kommandon på det sårbara systemet med administratörsbehörighet. Ivanti meddelar att sårbarheten utnyttjas aktivt och erbjuder vägledning i hur tidigare sårbara system kan genomsökas för tecken på intrång. [6]
Påverkade produkter
För fullständig lista över berörda produktversioner, se information hos tillverkaren. [1]
Rekommendationer
CERT-SE rekommenderar att uppdatera sårbara system så snart som möjligt.
Källor
[1] https://www.ivanti.com/blog/september-2024-security-update
[2] https://forums.ivanti.com/s/article/Security-Advisory-EPM-September-2024-for-EPM-2024-and-EPM-2022?language=en_US
[3] https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Cloud-Service-Appliance-CSA-CVE-2024-8190?language=en_US
[4] https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Workspace-Control-IWC?language=en_US
[5] https://www.cisa.gov/news-events/alerts/2024/09/13/cisa-adds-one-known-exploited-vulnerability-catalog
[6] https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-CSA-4-6-Cloud-Services-Appliance-CVE-2024-8963?language=en_US