La CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.) ha añadido el miércoles una vulnerabilidad de seguridad en Ivanti Endpoint Manager (EPM), que ya fue parchada en mayo, a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), debido a pruebas de explotación activa.

Esta vulnerabilidad, conocida como CVE-2024-29824, tiene una puntuación de 9.6 en la escala CVSS, lo que indica una gravedad crítica. Según el aviso del proveedor, se trata de una vulnerabilidad de inyección SQL no especificada en el servidor principal de EPM 2022 SU5 y versiones anteriores, lo que permite a un atacante no autenticado dentro de la misma red ejecutar código arbitrario.

Horizon3.ai, que presentó un exploit de prueba de concepto (PoC) en junio, indicó que el problema proviene de una función llamada RecordGoodApp() dentro de la DLL PatchBiz.dll. Esto se relaciona con la manera en que la función maneja las consultas SQL, lo que posibilita la ejecución remota de código a través de xp_cmdshell.

Aunque los detalles sobre la explotación de la falla aún no son claros, Ivanti ha actualizado su boletín para confirmar que ha “verificado la explotación de CVE-2024-29824” y que un “número limitado de clientes” ha sido afectado.

En el último mes, se han identificado hasta cuatro vulnerabilidades diferentes en dispositivos Ivanti, lo que demuestra su atractivo como vector de ataque para actores maliciosos. Estas vulnerabilidades adicionales incluyen:

CVE-2024-8190 (CVSS: 7.2): inyección de comandos del sistema operativo en Cloud Service Appliance (CSA)
CVE-2024-8963 (CVSS: 9.4): recorrido de ruta en CSA
CVE-2024-7593 (CVSS: 9.8): omisión de autenticación en Virtual Traffic Manager (vTM)

Las agencias federales están obligadas a actualizar sus sistemas a la última versión antes del 23 de octubre de 2024 para proteger sus redes de estas amenazas activas.

Fuente: thehackernews.com