Việc khai thác thành công các lỗ hổng này có thể cho phép kẻ tấn công có quyền quản trị viên vượt qua các hạn chế, chạy các câu lệnh SQL tùy ý hoặc thực thi mã từ xa.
Công ty cho biết: "Một số lượng hạn chế các khách hàng đang chạy bản vá CSA 4.6 518 trở về trước đã bị tin tặc khai thác khi CVE-2024-9379, CVE-2024-9380 hoặc CVE-2024-9381 được liên kết với CVE-2024-8963. Tuy vậy, không có bằng chứng nào về việc khai thác đối với môi trường chạy CSA 5.0".
Ivanti đưa ra mô tả ngắn về 03 lỗ hổng như sau:
- CVE-2024-9379 (Điểm CVSS: 6,5): Lỗ hổng tiêm SQL vào bảng điều khiển web quản trị của Ivanti CSA trước phiên bản 5.0.2 cho phép kẻ tấn công được xác thực từ xa có quyền quản trị chạy các câu lệnh SQL tùy ý.
- CVE-2024-9380 (Điểm CVSS: 7.2): Lỗ hổng tiêm lệnh hệ điều hành (OS) trong bảng điều khiển web quản trị của Ivanti CSA trước phiên bản 5.0.2 cho phép kẻ tấn công được xác thực từ xa có quyền quản trị viên thực thi mã từ xa.
- CVE-2024-9381 (Điểm CVSS: 7.2): Lỗ hổng trong Ivanti CSA trước phiên bản 5.0.2 cho phép kẻ tấn công đã xác thực từ xa có quyền quản trị viên vượt qua các hạn chế.
Các cuộc tấn công mà Ivanti quan sát được bao gồm việc kết hợp các lỗ hổng đã đề cập ở trên với CVE-2024-8963 (điểm CVSS: 9,4), một lỗ hổng bảo mật quan trọng cho phép kẻ tấn công từ xa không cần xác thực mà vẫn có quyền truy cập vào chức năng bị hạn chế.
Ivanti cho biết họ phát hiện ra 03 lỗ hổng mới này như một phần trong quá trình điều tra về việc khai thác CVE-2024-8963 và CVE-2024-8190 (điểm CVSS: 7.2), một lỗi tiêm lệnh hệ điều hành khác trong CSA hiện đã được vá và cũng từng bị lạm dụng trên thực tế.
Bên cạnh việc cập nhật lên phiên bản mới nhất (5.0.2), công ty khuyến nghị người dùng xem xét thiết bị để tìm người dùng quản trị mới được thêm hoặc đã sửa đổi nhằm tìm dấu hiệu xâm phạm hoặc kiểm tra cảnh báo từ các công cụ phát hiện và phản hồi điểm cuối (EDR) được cài đặt trên thiết bị.