Lỗ hổng nghiêm trọng được đề cập có định danh là CVE-2024-8190 (điểm CVSS: 7,2), cho phép thực thi mã từ xa trong một số trường hợp nhất định.

“Một lỗ hổng OS command injection trong Ivanti Cloud Services Appliance phiên bản 4.6 Patch 518 trở về trước cho phép kẻ tấn công đã được xác thực có thể thực thi mã từ xa. Tuy nhiên, kẻ tấn công phải có đặc quyền cấp quản trị viên để khai thác lỗ hổng này”, Ivanti lưu ý trong một thông báo được phát hành đầu tuần trước.

Lỗ hổng này ảnh hưởng đến Ivanti CSA 4.6, hiện đã đến giai đoạn kết thúc vòng đời (end-of-life). Tuy nhiên, lỗ hổng này đã được giải quyết trong CSA 4.6 Patch 519.

“Với trạng thái như vậy, đây là bản sửa lỗi cuối cùng mà Ivanti phát hành cho phiên bản này. Khách hàng cần nâng cấp lên Ivanti CSA 5.0 để tiếp tục được hỗ trợ”, công ty cho biết. Ngoài ra, công ty cũng cho biết thêm CSA 5.0 là phiên bản duy nhất được hỗ trợ và không tồn tại lỗ hổng. Khách hàng đang sử dụng Ivanti CSA 5.0 không cần thực hiện bất kỳ hành động bổ sung nào. Ivanti đã cập nhật thông báo của mình để lưu ý rằng họ đã phát hiện việc lỗ hổng này đang bị khai thác trong thực tế, nhắm vào một số khách hàng.

Công ty không tiết lộ thêm thông tin chi tiết liên quan đến các cuộc tấn công hoặc danh tính của những kẻ lợi dụng lỗ hổng này, tuy nhiên, một số lỗ hổng khác trong các sản phẩm của Ivanti đã bị các nhóm gián điệp mạng Trung Quốc khai thác như một lỗ hổng zero-day.

Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ đã thêm lỗ hổng này vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), yêu cầu các cơ quan liên bang áp dụng bản sửa lỗi trước ngày 04/10/2024.

Việc tiết lộ này cũng diễn ra khi công ty an ninh mạng Horizon3.ai chia sẻ một bản phân tích kỹ thuật chi tiết về lỗ hổng Deserialization nghiêm trọng (CVE-2024-29847, điểm CVSS: 10,0) ảnh hưởng đến Endpoint Manager (EPM) dẫn đến việc thực thi mã từ xa.