Ivanti a révélé qu’une faille de sécurité récemment corrigée dans son Cloud Service Appliance (CSA) a été activement exploitée dans la nature.
La vulnérabilité de haute gravité en question est CVE-2024-8190 (score CVSS : 7,2), qui permet l’exécution de code à distance dans certaines circonstances.
« Une vulnérabilité d’injection de commandes du système d’exploitation dans Ivanti Cloud Services Appliance versions 4.6 Patch 518 et antérieures permet à un attaquant authentifié à distance d’obtenir l’exécution de code à distance », a noté Ivanti dans un avis publié plus tôt cette semaine. “L’attaquant doit disposer de privilèges de niveau administrateur pour exploiter cette vulnérabilité.”
La faille affecte Ivanti CSA 4.6, qui a actuellement atteint son statut de fin de vie, obligeant les clients à effectuer une mise à niveau vers une version prise en charge à l’avenir. Cela dit, ce problème a été résolu dans le patch 519 de la CSA 4.6.
“Avec l’état de fin de vie, il s’agit du dernier correctif qu’Ivanti rétroportera pour cette version”, a ajouté la société de logiciels informatiques basée dans l’Utah. « Les clients doivent effectuer une mise à niveau vers Ivanti CSA 5.0 pour bénéficier d’une assistance continue. »
« CSA 5.0 est la seule version prise en charge et ne contient pas cette vulnérabilité. Les clients qui exécutent déjà Ivanti CSA 5.0 n’ont pas besoin de prendre de mesures supplémentaires.
Vendredi, Ivanti a mis à jour son avis pour indiquer qu’il avait observé une exploitation confirmée de la faille dans la nature ciblant un « nombre limité de clients ».
Il n’a pas révélé de détails supplémentaires liés aux attaques ni à l’identité des acteurs menaçants qui les utilisent. Cependant, un certain nombre d’autres vulnérabilités des produits Ivanti ont été exploitées comme un jour zéro par des groupes de cyberespionnage liés à la Chine.
Ce développement a incité l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à ajouter la faille à son catalogue de vulnérabilités exploitées connues (KEV), obligeant les agences fédérales à appliquer les correctifs d’ici le 4 octobre 2024.
La divulgation intervient également alors que la société de cybersécurité Horizon3.ai a publié une analyse technique détaillée d’une vulnérabilité critique de désérialisation (CVE-2024-29847, score CVSS : 10,0) affectant Endpoint Manager (EPM) et entraînant l’exécution de code à distance.