Softwarebedrijf Ivanti waarschuwt klanten voor een kritiek path traversal-lek in Cloud Service Appliance (CSA) waar aanvallers actief misbruik van maken en dat 'bij toeval' op 10 september werd opgelost. Onlangs meldde Ivanti ook actief misbruik van een andere kwetsbaarheid in CSA. Via de Cloud Service Appliance kunnen organisaties software uitrollen, updates installeren en op afstand problemen oplossen op door de organisatie beheerde laptops, tablets, smartphones en andere systemen. Een gecompromitteerde CSA kan dan ook verstrekkende gevolgen voor een organisatie hebben.

Op 10 september kan Ivanti met een update voor een kwetsbaarheid in CSA versie 4.6, aangeduid als CVE-2024-8190. Drie dagen later liet het softwarebedrijf weten dat aanvallers actief misbruik van dit beveiligingslek maken. Gisteren kwam Ivanti met een nieuwe waarschuwing voor een tweede actief aangevallen lek in CSA 4.6. Het gaat om een kritieke path traversal-kwetsbaarheid (CVE-2024-8963) waardoor een ongeauthenticeerde aanvaller op afstand 'toegang tot 'afgeschermde functionaliteit' kan krijgen.

Aanvallers combineren CVE-2024-8963 en CVE-2024-8190 om de admin-authenticatie te omzeilen en willekeurige commando's op de appliance uit voeren. De impact van CVE-2024-8963 is op een schaal van 1 tot en met 10 beoordeeld met een 9.4. Met de update die op 10 september voor CVE-2024-8190 verscheen blijkt ook 'bij toeval' CVE-2024-8963 te zijn verholpen, aldus de uitleg van Ivanti. Met de patch voor CSA 4.6 zijn dan ook beide actief aangevallen kwetsbaarheden opgelost. Deze versie is echter end-of-life en organisaties worden dan ook aangeraden naar CSA 5.0 te upgraden.