top of page
Foto do escritorDiego Arantes

Três Vulnerabilidades Críticas no Ivanti CSA: Uma Ameaça Real e Ativa

Em outubro de 2024, a Ivanti emitiu um alerta de segurança sobre três vulnerabilidades críticas em seu Cloud Service Appliance (CSA), que estão sendo ativamente exploradas. Essas falhas representam um sério risco para as organizações que utilizam versões anteriores à 5.0.2 do CSA, permitindo que invasores com privilégios de administrador comprometam os sistemas através de ataques como injeção de SQL, execução remota de código e travessia de diretório.

Sumário Executivo

As vulnerabilidades, identificadas como CVE-2024-9379, CVE-2024-9380 e CVE-2024-9381, permitem que invasores autenticados com privilégios elevados ignorem restrições de segurança e executem comandos arbitrários. Esses ataques são combinados com uma falha anterior, a CVE-2024-8963, já conhecida por comprometer funcionalidades restritas do CSA. As versões afetadas incluem o CSA 4.6 patch 518 e versões anteriores. Felizmente, clientes que utilizam o CSA 5.0 ou superior não foram afetados.


Detalhes das Vulnerabilidades

As três vulnerabilidades exploradas são descritas da seguinte forma:

  • CVE-2024-9379: Um SQL injection no console de administração do CSA, permitindo a execução de comandos SQL arbitrários por um invasor autenticado com privilégios de administrador.

  • CVE-2024-9380: Um ataque de injeção de comando que explora o sistema operacional por meio do console de administração, possibilitando a execução remota de código.

  • CVE-2024-9381: Uma vulnerabilidade de Path Traversal que permite que invasores autenticados ignorem restrições de diretórios.

Essas falhas, quando exploradas em conjunto, oferecem aos invasores a capacidade de comprometer totalmente os sistemas afetados, além de abrir portas para futuros ataques.


Exploração Ativa

A combinação dessas falhas com a CVE-2024-8963, que trata de travessia de diretório, eleva a criticidade da situação, especialmente considerando que essa vulnerabilidade já vinha sendo explorada. A exploração ativa dessas falhas demonstra a capacidade dos atacantes em comprometer ambientes vulneráveis, particularmente aqueles que não aplicaram as devidas correções.


Ação da CISA

A CISA (Cybersecurity and Infrastructure Security Agency) rapidamente adicionou essas vulnerabilidades ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), destacando que são alvos frequentes para agentes maliciosos. As vulnerabilidades do CSA são vistas como vetores preferenciais para ataques, dada a sua natureza crítica e o impacto que podem gerar em ambientes corporativos.


Recomendações

Para mitigar os riscos associados a essas vulnerabilidades, a Ivanti recomenda:

  1. Atualização Imediata para a versão mais recente do CSA (5.0.2).

  2. Monitoramento de Sinais de Comprometimento: Verificar dispositivos para sinais de atividades suspeitas, como criação ou modificação de usuários administrativos sem justificativa.

  3. Revisão de Alertas de Ferramentas EDR: Utilizar ferramentas de detecção e resposta para monitorar atividades anômalas e suspeitas.

  4. Avaliação de Políticas de Segurança: Implementar medidas de segurança adicionais, como a revisão de privilégios administrativos e a segmentação de redes.


Conclusão

As vulnerabilidades críticas no Ivanti CSA destacam a necessidade urgente de medidas proativas de segurança. Organizações que utilizam o CSA devem agir rapidamente para atualizar suas versões e proteger seus ambientes contra essas ameaças ativamente exploradas. O impacto potencial dessas falhas, quando combinadas com vulnerabilidades anteriores, pode ser devastador, comprometendo dados e infraestruturas críticas.


Referências

0 visualização0 comentário

Posts recentes

Ver tudo

Comments


bottom of page