SK-CERT Bezpečnostné varovanie V20241010-02
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP:CLEAR |
| CVSS Skóre |
9.1 |
| Identifikátor |
| Ivanti produkty – kritická bezpečnostná zraniteľnosť a aktívne zneužívané zraniteľnosti |
| Popis |
| Spoločnosť Ivanti vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých jedna je označená ako kritická a tri sú aktívne zneužívané útočníkmi. Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-37404 sa nachádza v produktoch Ivanti Connect Secure a Ivanti Policy Secure, spočíva v nedostatočnom overovaní používateľských vstupov a umožňuje vzdialenému, autentifikovanému útočníkovi s právomocami administrátora prostredníctvom CRLF injekcie vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Na uvedenú zraniteľnosť je v súčasnosti voľne dostupný Proof-of-Concept kód. Aktívne zneužívané bezpečnostné zraniteľnosti s identifikátormi CVE-2024-9379 a CVE-2024-9380, v kombinácii s CVE-2024-8963 (bezpečnostná záplata vydaná v septembri 2024), sa nachádzajú v produkte Ivanti CSA (Cloud Services Appliance) a možno ich zneužiť na obídenie bezpečnostných prvkov, vykonanie SQL injekcie a škodlivého kódu. Úspešné zneužitie zraniteľností možno overiť vyhľadávaním a analýzou novovytvorených alebo nedávno modifikovaných administrátorských účtov. Predmetné aktívne zneužívané zraniteľnosti sa nachádzajú v produkte Ivanti CSA vo verzii staršej ako 4.6 s aplikovanou bezpečnostnou záplatou 518 (vrátane). Zneužitím ostatných bezpečnostných zraniteľností možno získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme, spôsobiť zneprístupnenie služby, získať úplnú kontrolu nad systémom a eskalovať privilégiá. |
| Dátum prvého zverejnenia varovania |
| 8.10.2024 |
| CVE |
| CVE-2024-37404, CVE-2024-47007,CVE-2024-47008,CVE-2024-47009,CVE-2024-47010,CVE-2024-47011, CVE-2024-9167, CVE-2024-8190,CVE-2024-8963,CVE-2024-9379,CVE-2024-9380,CVE-2024-9381 |
| IOC |
| – |
| Zasiahnuté systémy |
| Ivanti Connect Secure vo verzii staršej ako 22.7R2.1 Ivanti Connect Secure vo verzii staršej ako 22.7R2.2 Ivanti Connect Secure vo verzii staršej ako 9.1R18.9 (vydanie bezpečnostnej záplaty je plánované 15.10.24) Ivanti Policy Secure vo verzii staršej ako 22.7R1.1 Ivanti CSA (Cloud Services Appliance) vo verzii staršej ako 5.0.2 Ivanti Avalanche vo verzii staršej ako 6.4.5 Ivanti Velocity License Server vo verzii staršej ako 5.2 Ivanti CSA vo všetkých verziách starších ako 4.6 s aplikovanou bezpečnostnou záplatou 518 (vrátane, ukončená podpora 10.9.2024) |
| Následky |
| Vykonanie škodlivého kódu Eskalácia privilégií Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme Zneprístupnenie služby Neoprávnený prístup do systému |
| Odporúčania |
| Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Pri produktoch, pre ktoré ešte neboli vydané bezpečnostné záplaty, odporúčame zraniteľnosti mitigovať podľa odporúčaní od výrobcu, sledovať stránky výrobcu a po vydaní príslušných záplat systémy aktualizovať. Pri produktoch, ktoré majú ukončenú podporu, odporúčame prejsť na iný produkt s platnou podporou. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
« Späť na zoznam
