CVE-2024-8190

Ivanti Cloud Services Appliance

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-09-13

Официальное описание

Ivanti Cloud Services Appliance (CSA) contains an OS command injection vulnerability in the administrative console which can allow an authenticated attacker with application admin privileges to pass commands to the underlying OS.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-8190 представляет собой критическую уязвимость типа OS Command Injection (инъекция команд операционной системы) в административной консоли Ivanti Cloud Services Appliance (CSA).

Проблема заключается в недостаточной фильтрации входных данных в веб-интерфейсе управления. Аутентифицированный злоумышленник с правами администратора приложения может внедрить произвольные системные команды, которые будут выполнены с привилегиями базовой ОС.

Важно отметить, что данная уязвимость уже эксплуатируется в реальных атаках (0-day) в связке с другими векторами для получения полного контроля над устройством. Уязвимости подвержены версии Ivanti CSA 4.6 и ниже.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление Ivanti CSA до актуального патч-релиза.

Важное примечание: Ivanti CSA 4.6 достигла статуса End-of-Life (EoL). Исправление выпущено в виде специфического патча для версии 4.6, однако производитель настоятельно рекомендует миграцию на версию 5.0.

  1. Перейдите в консоль администратора CSA.
  2. Перейдите в раздел System -> Updates.
  3. Проверьте наличие доступных обновлений.
  4. Установите Patch 519 (или более поздний) для версии 4.6.
  5. После установки патча убедитесь, что версия сборки (Build) обновилась.

Для перехода на поддерживаемую ветку 5.0 (рекомендуется): 1. Разверните новый экземпляр Ivanti CSA 5.0. 2. Выполните миграцию конфигураций согласно официальной документации Ivanti.

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски с помощью следующих шагов:

  1. Ограничение сетевого доступа: Разрешите доступ к административному порту (обычно TCP 443) только из доверенных внутренних сетей или через VPN. Запретите доступ к панели управления из публичного интернета.

  2. Мониторинг активности: Проверьте логи на наличие подозрительных команд в процессах веб-сервера.

grep -r "eval" /var/log/httpd/
  1. Проверка на наличие признаков компрометации (IoC): Проверьте список пользователей в системе на наличие несанкционированных учетных записей.
cat /etc/passwd
  1. Анализ запущенных процессов: Изучите дерево процессов на предмет наличия необычных оболочек (shell), запущенных от имени пользователя веб-сервера.
ps auxf
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей