ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Çarşamba günü, şirketin aktif istismar kanıtlarına dayanarak Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna Mayıs ayında yamaladığı Uç Nokta Yöneticisini (EPM) etkileyen bir güvenlik kusuru ekledi.
Şu şekilde izlenen güvenlik açığı: CVE-2024-29824maksimum 10,0 üzerinden 9,6 CVSS puanı taşır ve bu, kritik ciddiyeti gösterir.
Yazılım servis sağlayıcısı, 21 Mayıs 2024’te yayınlanan bir danışma belgesinde “Ivanti EPM 2022 SU5 ve önceki sürümlerin Core sunucusundaki belirtilmemiş bir SQL Injection güvenlik açığı, aynı ağ içindeki kimliği doğrulanmamış bir saldırganın rastgele kod yürütmesine izin veriyor” dedi.
Haziran ayında kusura yönelik bir kavram kanıtı (PoC) istismarı yayınlayan Horizon3.ai, sorunun kökeninin PatchBiz.dll adlı bir DLL dosyasındaki RecordGoodApp() adlı işlevden kaynaklandığını söyledi.
Spesifik olarak, işlevin bir SQL sorgu ifadesini nasıl ele aldığıyla ilgilidir ve böylece bir saldırganın xp_cmdshell aracılığıyla uzaktan kod yürütmesine olanak tanır.
Eksikliğin doğada nasıl istismar edildiğine dair kesin ayrıntılar belirsizliğini koruyor, ancak Ivanti o zamandan beri bülteni güncelleyerek “CVE-2024-29824’ün kullanıldığını doğruladığını” ve “sınırlı sayıda müşterinin” hedef alındığını belirtti. .
Son gelişmeyle birlikte, Ivanti cihazlarındaki dört farklı kusurun yalnızca bir ay içinde aktif olarak kötüye kullanılması, bunların tehdit aktörleri için kazançlı bir saldırı vektörü olduğunu gösterdi.
- CVE-2024-8190 (CVSS puanı: 7,2) – Cloud Service Appliance’ta (CSA) bir işletim sistemi komut ekleme güvenlik açığı
- CVE-2024-8963 (CVSS puanı: 9,4) – CSA’da yol geçiş güvenlik açığı
- CVE-2024-7593 (CVSS puanı: 9,8) – Kimlik doğrulamayı atlama güvenlik açığı Sanal Trafik Yöneticisi (vTM)
Federal kurumların, ağlarını aktif tehditlere karşı korumak için örneklerini 23 Ekim 2024’e kadar en son sürüme güncellemesi gerekiyor.