Ivanti warnt vor aktiver Ausnutzung einer neu gepatchten Cloud Appliance-Schwachstelle.
Ivanti hat offenbart, dass eine neu gepatchte Sicherheitsanfälligkeit in seiner Cloud Service Appliance (CSA) aktiv ausgenutzt wird.
Die hochgradige Schwachstelle betrifft CVE-2024-8190 (CVSS-Score: 7,2), die unter bestimmten Umständen die Remote-Codeausführung ermöglicht.
„Eine OS-Befehlsinjektionsanfälligkeit in Ivanti Cloud Services Appliance Versionen 4.6 Patch 518 und früher ermöglicht es einem remote authentifizierten Angreifer, Remote-Codeausführung zu erhalten“, stellte Ivanti in einem Anfang dieser Woche veröffentlichten Hinweis fest. „Der Angreifer muss über Administratorrechte verfügen, um diese Schwachstelle auszunutzen.“
Die Schwachstelle betrifft Ivanti CSA 4.6, die mittlerweile den Status „End-of-Life“ erreicht hat, was bedeutet, dass Kunden auf eine unterstützte Version umsteigen müssen. Diese wurde jedoch in CSA 4.6 Patch 519 behoben.
„Mit dem End-of-Life-Status ist dies der letzte Fix, den Ivanti für diese Version bereitstellen wird“, fügte das in Utah ansässige IT-Softwareunternehmen hinzu. „Kunden müssen auf Ivanti CSA 5.0 upgraden, um weiterhin Unterstützung zu erhalten.“
„CSA 5.0 ist die einzige unterstützte Version und enthält diese Schwachstelle nicht. Kunden, die bereits Ivanti CSA 5.0 verwenden, müssen keine weiteren Maßnahmen ergreifen.“
Am Freitag aktualisierte Ivanti seinen Hinweis und stellte fest, dass es bestätigte Ausnutzungen der Schwachstelle bei einer „begrenzten Anzahl von Kunden“ beobachtet hat.
Es wurden jedoch keine weiteren Einzelheiten zu den Angriffen oder zur Identität der Bedrohungsakteure, die diese ausnutzen, offengelegt. Eine Reihe anderer Schwachstellen in Ivanti-Produkten wurde bereits als Zero-Day von cyberespionage Gruppen mit Verbindungen zu China ausgenutzt.
Diese Entwicklung hat die U.S. Cybersecurity and Infrastructure Security Agency (CISA) veranlasst, die Schwachstelle in ihren Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufzunehmen, was von Bundesbehörden die Anwendung der Patches bis zum 4. Oktober 2024 erfordert.
Die Offenlegung erfolgt auch, während das Cybersicherheitsunternehmen Horizon3.ai eine detaillierte technische Analyse einer kritischen Deserialisierungsanfälligkeit (CVE-2024-29847, CVSS-Score: 10.0) veröffentlicht hat, die den Endpoint Manager (EPM) betrifft und Remote-Codeausführung zur Folge hat.
