Ivanti confirmó el viernes que una vulnerabilidad de alta gravedad en su solución Cloud Services Appliance (CSA) ahora se explota activamente en ataques.
“En el momento de la divulgación el 10 de septiembre, no teníamos conocimiento de que ningún cliente estuviera siendo explotado por esta vulnerabilidad. En el momento de la actualización del 13 de septiembre, se confirmó la explotación de un número limitado de clientes tras la divulgación pública”, dijo Ivanti en una actualización agregada a su aviso de agosto.
“Las configuraciones de CSA de doble alojamiento con ETH-0 como red interna, como recomienda Ivanti, tienen un riesgo significativamente reducido de explotación”.
Ivanti recomienda a los administradores que revisen los ajustes de configuración y los privilegios de acceso de cualquier usuario administrativo nuevo o modificado para detectar intentos de explotación. Aunque no siempre es consistente, algunos pueden quedar registrados en los registros del agente en el sistema local. También se recomienda revisar las alertas de EDR u otro software de seguridad.
La falla de seguridad (CVE-2024-8190) permite a atacantes remotos autenticados con privilegios administrativos obtener ejecución de código remoto en dispositivos vulnerables que ejecutan Ivanti CSA 4.6 a través de la inyección de comandos.
Ivanti recomienda a los clientes que actualicen de CSA 4.6.x (que ha alcanzado el estado de fin de vida útil) a CSA 5.0 (que aún se encuentra bajo soporte).
Las agencias federales deben aplicar parches antes del 4 de octubre
El viernes, CISA también agregó la vulnerabilidad CVE-2024-8190 de Ivanti CSA a su catálogo de vulnerabilidades explotadas conocidas. Como lo exige la Directiva operativa vinculante (BOD) 22-01, las agencias de la Rama Ejecutiva Civil Federal (FCEB) deben proteger los dispositivos vulnerables en un plazo de tres semanas antes del 4 de octubre.
También, Ivanti corrigió una falla de máxima gravedad en su software de administración de puntos finales (EPM) que permite a los atacantes no autenticados obtener la ejecución remota de código en el servidor central.
Además, parchó casi dos docenas de otras fallas de gravedad alta y crítica en Ivanti EPM, Workspace Control (IWC) y Cloud Service Appliance (CSA).
Ivanti afirma que ha aumentado sus capacidades internas de análisis y pruebas en los últimos meses, al mismo tiempo que trabaja para mejorar su proceso de divulgación responsable para abordar los posibles problemas de seguridad más rápidamente.
Ivanti tiene más de 7000 socios en todo el mundo y sus productos son utilizados por más de 40 000 empresas para administrar sus sistemas y activos de TI.