Perusahaan perangkat lunak TI Amerika, Ivanti, telah merilis pembaruan keamanan untuk memperbaiki tiga zero-days baru Cloud Services Appliance (CSA) yang ditandai sebagai dieksploitasi secara aktif dalam serangan.
Seperti yang diungkapkan Ivanti pada hari Selasa, penyerang merantai tiga kelemahan keamanan tersebut dengan zero-day CSA lainnya ditambal pada bulan September.
Eksploitasi kerentanan ini yang berhasil dapat membuat penyerang jarak jauh menjalankan pernyataan SQL melalui injeksi SQL, mengeksekusi kode arbitrer melalui injeksi perintah, dan melewati batasan keamanan dengan menyalahgunakan kelemahan traversal jalur pada gateway CSA yang rentan (digunakan untuk memberikan akses aman ke sumber daya jaringan internal kepada pengguna perusahaan) .
“Kami mengetahui sejumlah kecil pelanggan yang menjalankan CSA 4.6 patch 518 dan sebelumnya yang telah dieksploitasi ketika CVE-2024-9379, CVE-2024-9380 atau CVE-2024-9381 dirangkai dengan CVE-2024-8963,” Ivanti diperingatkan.
Perusahaan mengatakan kelemahan tersebut berdampak pada CSA 5.0.1 dan versi sebelumnya dan merekomendasikan pelanggan yang mencurigai sistem mereka telah disusupi dalam serangan ini untuk membangun kembali peralatan CSA mereka dengan versi 5.0.2.
Untuk mendeteksi upaya eksploitasi, admin harus meninjau peringatan dari deteksi dan respons titik akhir (EDR) atau perangkat lunak keamanan lainnya. Mereka juga dapat mengamati tanda-tanda kompromi dengan memeriksa pengguna admin baru atau yang dimodifikasi.
Karena CSA 4.6 adalah produk yang sudah habis masa pakainya dan menerima patch keamanan terakhir pada bulan September, pelanggan yang masih menjalankan versi ini disarankan untuk meningkatkan ke CSA 5.0.2 sesegera mungkin.
“Selain itu, penting bagi pelanggan untuk mengetahui bahwa kami belum mengamati eksploitasi kerentanan ini di versi CSA 5.0 mana pun,” tambah perusahaan itu.
Beberapa zero-day Ivanti dalam eksploitasi aktif
Bulan lalu, Ivanti memperingatkan bahwa pelaku ancaman merantai kerentanan bypass admin (CVE-2024-8963) dengan bug injeksi perintah (CVE-2024-8190) untuk melewati autentikasi admin dan menjalankan perintah arbitrer pada peralatan CSA yang belum di-patch.
CISA menambahkan keduanya Ivanta kekurangan ke katalog Kerentanan yang Diketahui dan Dieksploitasi dan memerintahkan badan-badan federal untuk mengamankan sistem yang rentan pada tanggal 10 Oktober.
Aliran pengungkapan zero-day yang dieksploitasi secara aktif ini datang dari perusahaan mengatakan perusahaan ini meningkatkan kemampuan pengujian dan pemindaian internal serta berupaya meningkatkan proses pengungkapan yang bertanggung jawab untuk mengatasi masalah keamanan dengan lebih cepat.
“Ivanti melakukan investasi besar pada Secure by Design di seluruh organisasi kami dan menandatangani perjanjian CISA Secure by Design pada bulan Mei,” kata Ivanti hari ini.
Beberapa kekurangan adalah dieksploitasi sebagai zero-day dalam serangan yang meluas dalam beberapa bulan terakhir, yang menargetkan Ivanti Peralatan VPNDan Gerbang ICS, IPS, dan ZTA.
Ivanti mengatakan pihaknya memiliki lebih dari 7.000 mitra dan lebih dari 40.000 perusahaan menggunakan produknya untuk mengelola sistem dan aset TI mereka di seluruh dunia.
