Ivanti, Bulut Hizmet Aygıtında (CSA) yeni düzeltilen bir güvenlik açığının yaygın olarak istismar edildiğini açıkladı.
Söz konusu yüksek öneme sahip güvenlik açığı, belirli koşullar altında uzaktan kod çalıştırılmasına izin veren CVE-2024-8190’dır (CVSS puanı: 7.2).
“Ivanti Cloud Services Appliance 4.6 Patch 518 ve öncesindeki bir işletim sistemi komut enjeksiyonu güvenlik açığı, uzaktan kimliği doğrulanmış bir saldırganın uzaktan kod yürütme elde etmesine olanak tanır,” diye belirtti Ivanti bu hafta başında yayınlanan bir danışma yazısında. “Saldırganın bu güvenlik açığından faydalanmak için yönetici düzeyinde ayrıcalıklara sahip olması gerekir.”
Bu kusur, şu anda kullanım ömrü sonuna ulaşmış olan ve müşterilerin bundan sonra desteklenen bir sürüme yükseltme yapmasını gerektiren Ivanti CSA 4.6’yı etkiliyor. Bununla birlikte, CSA 4.6 Yama 519’da ele alındı.
“Ömrünün sonuna gelmiş olmasıyla birlikte bu, Ivanti’nin bu sürüm için geriye taşıyacağı son düzeltmedir,” diye ekledi Utah merkezli BT yazılım şirketi. “Müşteriler, sürekli destek için Ivanti CSA 5.0’a yükseltme yapmalıdır.”
“CSA 5.0 desteklenen tek sürümdür ve bu güvenlik açığını içermez. Ivanti CSA 5.0’ı halihazırda çalıştıran müşterilerin ek bir işlem yapmasına gerek yoktur.”
Cuma günü Ivanti, duyurusunu güncelleyerek, söz konusu açığın “sınırlı sayıda müşteriyi” hedef alarak yaygın olarak kullanıldığının doğrulandığını belirtti.
Saldırılarla ilgili ek ayrıntılar veya bu saldırıları silah olarak kullanan tehdit aktörlerinin kimlikleri açıklanmadı ancak Ivanti ürünlerindeki diğer bazı güvenlik açıklarının China-nexus siber casusluk grupları tarafından sıfır gün açığı olarak kullanıldığı belirtildi.
Bu gelişme, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nı (CISA) eksikliği Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklemeye sevk etti ve federal kurumların düzeltmeleri 4 Ekim 2024’e kadar uygulamasını zorunlu kıldı.
Açıklama ayrıca siber güvenlik şirketi Horizon3.ai’nin, uzaktan kod yürütülmesine neden olan Endpoint Manager’ı (EPM) etkileyen kritik bir deserializasyon açığının (CVE-2024-29847, CVSS puanı: 10.0) ayrıntılı teknik analizini yayınlamasının ardından geldi.