Ivanti hat bekannt gegeben, dass eine kürzlich gepatchte Sicherheitslücke in seiner Cloud Service Appliance (CSA) aktiv ausgenutzt wird.
Bei der schwerwiegenden Sicherheitslücke handelt es sich um CVE-2024-8190 (CVSS-Score: 7.2), die unter bestimmten Umständen die Ausführung von Remotecode ermöglicht.
„Eine Sicherheitslücke bezüglich OS-Befehlsinjektion in Ivanti Cloud Services Appliance Versionen 4.6 Patch 518 und davor ermöglicht es einem authentifizierten Angreifer aus der Ferne, Remotecode auszuführen“, erklärte Ivanti in einem Anfang dieser Woche veröffentlichten Bericht. „Der Angreifer muss über Administratorrechte verfügen, um diese Sicherheitslücke auszunutzen.“
Die Schwachstelle betrifft Ivanti CSA 4.6, das das Ende seiner Lebensdauer erreicht hat, sodass Kunden auf eine unterstützte Version aktualisieren müssen. Sie wurde jedoch in CSA 4.6 Patch 519 behoben.
„Aufgrund des End-of-Life-Status ist dies der letzte Fix, den Ivanti für diese Version zurückportieren wird“, fügte das in Utah ansässige IT-Softwareunternehmen hinzu. „Kunden müssen auf Ivanti CSA 5.0 aktualisieren, um weiterhin Support zu erhalten.“
„CSA 5.0 ist die einzige unterstützte Version und enthält diese Sicherheitslücke nicht. Kunden, die bereits Ivanti CSA 5.0 verwenden, müssen keine weiteren Maßnahmen ergreifen.“
Am Freitag aktualisierte Ivanti seinen Bericht und stellte fest, dass die Ausnutzung der Schwachstelle in freier Wildbahn bei einer „begrenzten Anzahl von Kunden“ beobachtet wurde.
Es wurden keine weiteren Einzelheiten zu den Angriffen oder der Identität der Bedrohungsakteure bekannt gegeben, die sie einsetzen. Es wurden jedoch bereits eine Reihe anderer Schwachstellen in Ivanti-Produkten von Cyberspionagegruppen mit Verbindungen zu China als Zero-Day-Schwachstellen ausgenutzt.
Die Entwicklung hat die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) dazu veranlasst, die Sicherheitslücke in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufzunehmen, der vorschreibt, dass Bundesbehörden die Fehlerbehebungen bis zum 4. Oktober 2024 anwenden müssen.
Die Offenlegung erfolgt zeitgleich mit der Veröffentlichung einer detaillierten technischen Analyse einer kritischen Sicherheitslücke bezüglich Deserialisierung (CVE-2024-29847, CVSS-Score: 10.0), die sich auf Endpoint Manager (EPM) auswirkt und zu Remotecodeausführung führt, durch das Cybersicherheitsunternehmen Horizon3.ai.