A Ivanti alertou que três novas vulnerabilidades de segurança em seu Cloud Service Appliance (CSA) estão sendo ativamente exploradas. As falhas, consideradas zero day, estão sendo usadas em conjunto com outra vulnerabilidade do CSA que a empresa corrigiu no mês passado. A exploração bem-sucedida dessas vulnerabilidades permite que um invasor autenticado com privilégios de administrador contorne restrições, execute comandos SQL arbitrários ou obtenha execução remota de código.

“Estamos cientes de um número limitado de clientes usando o CSA 4.6 patch 518 e versões anteriores que foram explorados quando CVE-2024-9379, CVE-2024-9380 ou CVE-2024-9381 foram combinados com o CVE-2024-8963”, disse a empresa. Os ataques observados pela Ivanti envolvem a combinação das falhas mencionadas com a CVE-2024-8963, uma vulnerabilidade crítica de travessia de caminho que permite que um invasor remoto não autenticado acesse funcionalidades restritas.

A Ivanti afirmou que descobriu as três novas falhas durante sua investigação sobre a exploração das CVE-2024-8963 e CVE-2024-8190, outra falha de injeção de comando do sistema operacional no CSA, que também foi abusada no ambiente real e já foi corrigida. Para mitigar os riscos, a empresa recomenda que os usuários atualizem para a versão mais recente (5.0.2) e revisem o dispositivo para verificar a existência de usuários administrativos modificados ou adicionados recentemente, buscando sinais de comprometimento. Também é indicado que os clientes chequem alertas de ferramentas de detecção e resposta de endpoint (EDR) instaladas no dispositivo.