Агентство CISA сегодня выпустило предупреждение о том, что критическая уязвимость в Ivanti, позволяющая удаленно исполнять код на уязвимых устройствах Endpoint Manager (EPM), уже активно используется в атаках.
Ivanti EPM — это комплексное решение для управления конечными устройствами, которое позволяет администраторам контролировать клиентские устройства на различных платформах, таких как Windows, macOS, Chrome OS и IoT.
Данная уязвимость, зарегистрированная как CVE-2024-29824, представляет собой SQL-инъекцию на сервере ядра Ivanti EPM, которую могут эксплуатировать неавторизованные злоумышленники из той же сети для выполнения произвольного кода на незапатченных системах.
В мае Ivanti выпустила обновления безопасности для исправления этой уязвимости, а также устранила пять других критических ошибок, связанных с удаленным выполнением кода на сервере EPM Core, которые затрагивали версии Ivanti EPM 2022 SU5 и более ранние.
В июне исследователи безопасности из Horizon3.ai опубликовали детальный анализ уязвимости CVE-2024-29824, а также экспериментальный эксплойт на GitHub, позволяющий выполнять команды на уязвимых устройствах Ivanti EPM. Исследователи также рекомендовали администраторам проверять журналы MS SQL на наличие признаков использования команды xp_cmdshell для выполнения команд злоумышленниками.
Сегодня Ivanti обновила свой бюллетень безопасности, подтвердив, что уязвимость CVE-2024-29824 уже используется в реальных атаках.
"На данный момент нам известно о нескольких клиентах, чьи системы были скомпрометированы", — заявили в компании.
Федеральные агентства получили три недели на устранение уязвимости
Во вторник CISA добавила уязвимость Ivanti EPM RCE в свой каталог известных эксплуатируемых уязвимостей, отметив ее как активно используемую. Теперь агентствам Федеральной гражданской исполнительной власти (FCEB) предписано устранить эту уязвимость до 23 октября в соответствии с обязательной директивой BOD 22-01.
Хотя каталог KEV CISA в первую очередь направлен на информирование федеральных агентств о критических уязвимостях, международные организации также должны придавать приоритет их устранению для защиты от атак.
В последние месяцы различные уязвимости в продуктах Ivanti неоднократно использовались в качестве уязвимостей нулевого дня в атаках на VPN-устройства компании, а также на шлюзы ICS, IPS и ZTA. В прошлом месяце Ivanti сообщила о комбинировании злоумышленниками двух недавно исправленных уязвимостей Cloud Services Appliance (CSA) для атак на незапатченные устройства.
В ответ на эти угрозы в сентябре Ivanti объявила о планах улучшить процесс ответственного раскрытия информации и тестирования, чтобы оперативнее реагировать на такие угрозы безопасности.
Компания Ivanti сотрудничает с более чем 7000 организаций по всему миру, предоставляя решения для управления системами и ИТ-активами более чем 40 000 клиентов.