Drei Zero-Day-Schwachstellen in Ivanti Cloud Service Appliance entdeckt

Das Unternehmen Ivanti meldete am 8. Oktober 2024 die drei folgenden Zero-Day-Sicherheitslücken in Ivanti CSA:

• CVE-2024-9379 mit CVSS-Score von 6.5/10 ermöglicht Angreifenden SQL-Injection.
• CVE-2024-9380 mit CVSS-Score von 7.2/10 ermöglicht Angreifenden, eigene Befehle auf Admin-Ebene zu platzieren und auszuführen.
• CVE-2024-9381 mit CVSS-Score von 7.2/10 ermöglicht Angreifenden, Path-Traversal-Attacken auszuführen.

Wenn Kriminelle diese Schwachstellen mit der Ausnutzung der älteren kritischen Lücke CVE-2024-8963 (CVSS-Score 9.4/10) kombinieren, könnten sie vollen Zugriff auf Systeme erlangen und Remote Code Execution (RCE) herbeiführen.

Die Zero-Day-Schwachstellen sowie das geschilderte Ausnutzungsszenario betreffen die CSA-Versionen 5.0.1 und älter. Für die nicht sichere CSA-Version 4.6 seien bereits Ausnutzungen beobachtet worden.

Ivanti gibt an, dass CVE-2024-8963 bereits gepatcht sei und die neue CSA-Version 5.0.2 auch die drei Zero-Day-Sicherheitslücken behebe.

Installieren Sie umgehend die Cloud-Service-Appliance-Version 5.0.2.