Sommario
Le vulnerabilità nel settore della sicurezza informatica continuano a essere una seria minaccia per le aziende di tutto il mondo ed Ivanti ha rivelato due nuove criticità che coinvolgono il loro Cloud Services Appliance (CSA), entrambe oggetto di attacchi attivi. Le vulnerabilità, CVE-2024-8963 e CVE-2024-8190, sono state segnalate come sfruttate da attori malevoli, con rischi significativi per le organizzazioni che non aggiornano tempestivamente i loro sistemi.
CVE-2024-8963: Accesso a Funzionalità Riservate
La prima delle due vulnerabilità, CVE-2024-8963, si caratterizza per un punteggio CVSS di 9.4 su 10, evidenziando la sua pericolosità. Si tratta di una falla di tipo path traversal, che consente agli attaccanti remoti e non autenticati di accedere a funzionalità riservate nei dispositivi CSA non aggiornati. La criticità è stata risolta “incidentalmente” con la patch 519 per la versione 4.6 e con il rilascio della versione CSA 5.0.
Ivanti ha comunicato che alcuni clienti sono già stati vittime di attacchi sfruttando questa vulnerabilità, e che in molti casi essa viene utilizzata in combinazione con la vulnerabilità CVE-2024-8190 per bypassare l’autenticazione amministrativa ed eseguire comandi arbitrari sui dispositivi compromessi.
CVE-2024-8190: comando arbitrario sui dispositivi
La seconda vulnerabilità, CVE-2024-8190, assegnata con un punteggio CVSS di 7.2, permette l’iniezione di comandi sui sistemi CSA. Questa criticità è stata scoperta e divulgata da Ivanti il 13 settembre 2024, e subito dopo è stato osservato un incremento delle attività di sfruttamento da parte di gruppi criminali. La combinazione di queste due vulnerabilità permette agli attori malevoli di ottenere un controllo completo sui dispositivi non aggiornati, con potenziali danni per le aziende coinvolte.
Ivanti ha consigliato a tutte le organizzazioni di aggiornare immediatamente i loro sistemi alla versione CSA 5.0, poiché la versione 4.6 è stata dichiarata obsoleta e non riceverà ulteriori aggiornamenti di sicurezza.
Risposta delle Agenzie Governative e Raccomandazioni
La gravità delle vulnerabilità ai servizi cloud ha spinto la CISA (Cybersecurity and Infrastructure Security Agency) ad aggiungere entrambe le criticità Ivanti alla sua lista di vulnerabilità conosciute ed attivamente sfruttate. Le agenzie federali statunitensi sono state obbligate a implementare le patch entro il 10 ottobre 2024, in conformità con il Binding Operational Directive (BOD) 22-01.
Ivanti ha inoltre raccomandato agli amministratori di sistema di monitorare attentamente le configurazioni di sicurezza, controllare i log di rilevamento e risposta degli endpoint (EDR), e rivedere i privilegi di accesso per gli utenti amministrativi. Se si sospetta una compromissione, Ivanti suggerisce di ricostruire il sistema CSA con la patch 519.
