CISA a averti aujourd’hui que d’une critique Ivanti vulnérabilité qui peut laisser menace acteurs gain exécution de code à distance sur vulnérables Endpoint Manager (EPM) les appareils est maintenant activement exploitée dans des attaques.
Ivanti EPM est un tout-en-un point de terminaison de la solution de gestion qui aide les administrateurs à gérer les périphériques client sur les différentes plateformes, y compris Windows, mac os, Chrome OS, et de Tes systèmes d’exploitation.
Suivi CVE-2024-29824, cette vulnérabilité d’Injection SQL dans Ivanti EPM du serveur de Base que les attaquants non authentifiés au sein du même réseau peuvent exploiter pour exécuter du code arbitraire sur la non corrigés des systèmes.
Ivanti a publié des mises à jour de sécurité pour corriger cette faille de sécurité en mai, lorsqu’il a également corrigé cinq autres bogues d’exécution de code à distance dans le serveur principal d’EPM, tous ayant un impact sur Ivanti EPM 2022 SU5 et versions antérieures.
Horizon3.ai des chercheurs en sécurité ont publié une analyse approfondie CVE-2024-29824 en juin et publié un exploit de validation de principe sur GitHub qui peut être utilisé pour « exécuter aveuglément des commandes sur des appliances Ivanti EPM vulnérables. »
Ils ont également conseillé aux administrateurs recherchant des signes d’exploitation potentielle sur leurs appliances d’examiner les journaux MS SQL pour rechercher des preuves de l’utilisation de xp_cmdshell pour obtenir l’exécution des commandes.
Aujourd’hui, Ivanti a mis à jour l’avis de sécurité d’origine pour indiquer qu’il « a confirmé l’exploitation de CVE-2024-29824 à l’état sauvage. »
« Au moment de cette mise à jour, nous sommes au courant d’un nombre limité de clients qui ont été exploités », a ajouté la société.
Les agences fédérales ont reçu l’ordre de patcher dans les trois semaines
Mardi, CISA a emboîté le pas et a ajouté la faille Ivanti EPM RCE à son catalogue de vulnérabilités exploitées connues, la marquant comme activement exploitée.
Les agences de l’Exécutif civil fédéral (FCEB) doivent désormais sécuriser les appareils vulnérables dans les trois semaines d’ici le 23 octobre, comme l’exige la Directive opérationnelle contraignante (DBO) 22-01),
Alors que le catalogue KEV de CISA est principalement conçu pour alerter les agences fédérales des vulnérabilités qu’elles doivent corriger dès que possible, les organisations du monde entier devraient également donner la priorité à la correction de cette vulnérabilité pour bloquer les attaques en cours.
Plusieurs vulnérabilités Ivanti ont été exploitées en tant que failles zero-day lors d’attaques généralisées au cours des derniers mois, ciblant les appliances VPN et les passerelles ICS, IPS et ZTA de l’entreprise.
Le mois dernier, Ivanti a averti que les auteurs de menaces enchaînaient deux vulnérabilités récemment corrigées des appliances de services Cloud (CSA) pour attaquer les appliances non corrigées.
En réponse, Ivanti a annoncé en septembre qu’il travaillait à l’amélioration de son processus de divulgation responsable et de ses capacités de test pour faire face plus rapidement à ces menaces de sécurité.
Ivanti s’associe à plus de 7 000 organisations pour fournir des solutions de gestion des systèmes et des actifs informatiques à plus de 40 000 entreprises dans le monde.