Falha grave de RCE em Ivanti
3 de Outubro de 2024

A CISA alertou hoje que uma vulnerabilidade crítica da Ivanti, que permite a atores de ameaças executar código remotamente em aparelhos Endpoint Manager (EPM) vulneráveis, está agora sendo ativamente explorada em ataques.

Ivanti EPM é uma solução de gerenciamento de endpoints tudo-em-um que ajuda os administradores a gerenciar dispositivos clientes em várias plataformas, incluindo Windows, macOS, Chrome OS e sistemas operacionais IoT.

Rastreada como CVE-2024-29824 , essa vulnerabilidade de SQL Injection no servidor principal do Ivanti EPM que atacantes não autenticados na mesma rede podem explorar para executar código arbitrário em sistemas não corrigidos.

Ivanti lançou atualizações de segurança para corrigir essa falha de segurança em maio, quando também tratou de outros cinco bugs de execução de código remoto no servidor principal do EPM, todos impactando o Ivanti EPM 2022 SU5 e anteriores.

Pesquisadores de segurança da Horizon3.ai publicaram um aprofundamento sobre a CVE-2024-29824 em junho e divulgaram um exploit de prova de conceito no GitHub que pode ser usado para "executar comandos cegamente em aparelhos Ivanti EPM vulneráveis".

Eles também aconselharam administradores à procura de sinais de exploração potencial em seus aparelhos a revisar os logs do MS SQL para procurar evidências de uso do xp_cmdshell para obter execução de comandos.

Hoje, a Ivanti atualizou o comunicado de segurança original para declarar que "confirmou a exploração da CVE-2024-29824 em campo".

"No momento desta atualização, estamos cientes de um número limitado de clientes que foram explorados", acrescentou a empresa.

Na terça-feira, a CISA seguiu o exemplo e adicionou a falha de RCE do Ivanti EPM ao seu catálogo de Vulnerabilidades Conhecidas Exploradas, marcando-a como ativamente explorada.

Agências do Ramo Executivo Civil Federal (FCEB) agora devem proteger aparelhos vulneráveis dentro de três semanas até 23 de outubro, conforme exigido pela Diretiva Operacional Obrigatória (BOD) 22-01.

Embora o catálogo KEV da CISA seja projetado principalmente para alertar agências federais sobre vulnerabilidades que elas devem corrigir o mais rápido possível, organizações em todo o mundo também devem priorizar a correção dessa vulnerabilidade para bloquear ataques em andamento.

Múltiplas vulnerabilidades da Ivanti foram exploradas como falhas de zero-day em ataques generalizados nos últimos meses, visando os aparelhos de VPN da empresa e gateways ICS, IPS e ZTA.

No mês passado, a Ivanti alertou que atores de ameaças estavam encadeando duas vulnerabilidades recentemente corrigidas no Cloud Services Appliance (CSA) para atacar aparelhos não corrigidos.

Em resposta, a Ivanti anunciou em setembro que está trabalhando para melhorar seu processo de divulgação responsável e capacidades de teste para abordar tais ameaças de segurança mais rapidamente.

A Ivanti faz parceria com mais de 7.000 organizações para entregar soluções de gestão de sistemas e ativos de TI a mais de 40.000 empresas globalmente.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...