Fuente: thehackernews.com – Autor: . Ivanti advirtió que tres nuevas vulnerabilidades de seguridad que afectan su dispositivo de servicio en la nube (CSA) han sido explotadas activamente en la naturaleza. Las fallas de día cero se están utilizando como arma junto con otra falla en CSA que la compañía corrigió el mes pasado, dijo el proveedor de servicios de software con sede en Utah. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante autenticado con privilegios de administrador eludir restricciones, ejecutar sentencias SQL arbitrarias u obtener ejecución remota de código. «Somos conscientes de un número limitado de clientes que ejecutan CSA 4.6 parche 518 y anteriores que han sido explotados cuando CVE-2024-9379, CVE-2024-9380 o CVE-2024-9381 están encadenados con CVE-2024-8963». dijo la empresa. No hay evidencia de explotación en entornos de clientes que ejecutan CSA 5.0. Una breve descripción de las tres deficiencias es la siguiente: CVE-2024-9379 (puntuación CVSS: 6,5): la inyección de SQL en la consola web de administración de Ivanti CSA anterior a la versión 5.0.2 permite que un atacante remoto autenticado con privilegios de administrador ejecute SQL arbitrario. declaraciones CVE-2024-9380 (puntuación CVSS: 7.2): una vulnerabilidad de inyección de comandos del sistema operativo (SO) en la consola web de administración de Ivanti CSA anterior a la versión 5.0.2 permite a un atacante remoto autenticado con privilegios de administrador obtener la ejecución remota de código CVE. 2024-9381 (puntuación CVSS: 7,2): el recorrido de ruta en Ivanti CSA anterior a la versión 5.0.2 permite a un atacante remoto autenticado con privilegios de administrador eludir las restricciones. Los ataques observados por Ivanti implican la combinación de las fallas antes mencionadas con CVE-2024-8963 (puntuación CVSS: 9,4), una vulnerabilidad de recorrido de ruta crítica que permite a un atacante remoto no autenticado acceder a funciones restringidas. Ivanti dijo que descubrió las tres nuevas fallas como parte de su investigación sobre la explotación de CVE-2024-8963 y CVE-2024-8190 (puntuación CVSS: 7.2), otro error de inyección de comandos del sistema operativo ahora parcheado en CSA del que también se ha abusado. en la naturaleza. Además de actualizar a la última versión (5.0.2), la compañía recomienda a los usuarios que revisen el dispositivo en busca de usuarios administrativos modificados o agregados recientemente para buscar signos de compromiso, o verificar alertas de las herramientas de respuesta y detección de puntos finales (EDR) instaladas en el dispositivo. El desarrollo se produce menos de una semana después de que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregara el miércoles una falla de seguridad que afecta a Ivanti Endpoint Manager (EPM) y que se solucionó en mayo (CVE-2024-29824, puntuación CVSS: 9,6) a la Catálogo de vulnerabilidades explotadas conocidas (KEV). CVE-2024-9381 ya no se considera explotado activamente Desde entonces, Ivanti revisó su aviso original y eliminó las referencias a la explotación activa de CVE-2024-9381. Cuando se le contactó para hacer comentarios, Ivanti le dijo a The Hacker News que la falla se marcó inadvertidamente como explotada debido a un «error administrativo». “La actualización [to the advisory] Era abordar un error administrativo en nuestros informes”, dijo un portavoz de Ivanti. “CVE-2024-9381 se descubrió internamente y no tenemos conocimiento de ninguna explotación en la naturaleza. Ivanti continúa instando encarecidamente a todos los clientes que aún no lo hayan hecho a que actualicen a CSA 5.0.2”. «Hemos observado una explotación limitada de CSA 4.6 cuando CVE-2024-9379 o CVE-2024-9380 están encadenados con CVE-2024-8963, presente en el parche 518 de CSA 4.6 y versiones anteriores, lo que podría conducir a la ejecución remota de código no autenticado», afirmó. estados del boletín actualizados. El desarrollo ha llevado a CISA a agregar CVE-2024-9379 y CVE-2024-9380 al catálogo KEV, lo que exige que las agencias federales apliquen los parches antes del 30 de octubre de 2024. (La historia se actualizó después de la publicación para señalar que CVE-2024 -9381 ya no se trata como una falla explotada activamente). ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos. URL de la publicación original: https://thehackernews.com/2024/10/zero-day-alert-tres-critical-ivanti.html