CVE-2024-8963

Ivanti Cloud Services Appliance (CSA)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-09-19

Официальное описание

Ivanti Cloud Services Appliance (CSA) contains a path traversal vulnerability that could allow a remote, unauthenticated attacker to access restricted functionality. If CVE-2024-8963 is used in conjunction with CVE-2024-8190, an attacker could bypass admin authentication and execute arbitrary commands on the appliance.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-8963 представляет собой критическую уязвимость типа Path Traversal (обход путей) в Ivanti Cloud Services Appliance (CSA) версий 4.6 и ниже. Она позволяет удаленному неавторизованному злоумышленнику получить доступ к защищенным ресурсам и функционалу устройства.

Особая опасность заключается в возможности эксплуатации этой уязвимости в связке (exploit chain) с CVE-2024-8190. В этом случае атакующий может полностью обойти аутентификацию администратора и выполнить произвольные команды (RCE) в операционной системе шлюза. Данная цепочка уязвимостей активно эксплуатируется злоумышленниками в реальных атаках.

Как исправить

Единственным надежным способом устранения CVE-2024-8963 является обновление Ivanti CSA до версии 5.0.

Важно: Ivanti CSA версии 4.6 достигла статуса End-of-Life (EOL). Исправления для ветки 4.6 не выпускаются. Переход на версию 5.0 требует развертывания нового виртуального устройства на базе AlmaLinux 9, так как простое обновление пакетов внутри CentOS-базированной версии 4.6 невозможно.

  1. Сделайте резервную копию конфигурации текущего CSA 4.6.
  2. Разверните новый экземпляр Ivanti CSA 5.0.
  3. Импортируйте конфигурацию и сертификаты.
  4. Убедитесь, что установлены последние патчи (Patch 1 и выше для версии 5.0).

Для проверки текущей версии через CLI:

cat /etc/issue

Временные меры

Если немедленное обновление до версии 5.0 невозможно, необходимо принять следующие меры для снижения риска:

  1. Ограничение доступа к веб-интерфейсу: Настройте правила межсетевого экрана так, чтобы доступ к порту 443 (TCP) был разрешен только с доверенных административных IP-адресов.

  2. Проверка признаков компрометации (IoC): Проверьте логи веб-сервера на наличие подозрительных запросов, содержащих попытки обхода путей (например, ../ или обращение к .php файлам в нетипичных директориях).

grep -E "\.\./|\.php" /var/log/httpd/access_log
  1. Мониторинг процессов: Проверьте наличие подозрительных процессов, запущенных от пользователя веб-сервера (обычно nobody или apache).
ps -u nobody
  1. Изоляция: Поместите CSA в изолированный сегмент сети (DMZ) и максимально ограничьте его доступ к внутренней инфраструктуре организации.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей