CVE-2024-9379

Ivanti Cloud Services Appliance (CSA)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-10-09

Официальное описание

Ivanti Cloud Services Appliance (CSA) contains a SQL injection vulnerability in the admin web console in versions prior to 5.0.2, which can allow a remote attacker authenticated as administrator to run arbitrary SQL statements.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-9379 представляет собой критическую уязвимость типа SQL-инъекция (SQLi) в административной веб-консоли Ivanti Cloud Services Appliance (CSA). Проблема возникает из-за недостаточной фильтрации входных данных в SQL-запросах.

Уязвимость позволяет удаленному злоумышленнику, имеющему права администратора, выполнять произвольные SQL-команды в базе данных устройства. Это может привести к несанкционированному доступу к конфиденциальной информации, модификации данных или созданию условий для дальнейшей компрометации системы (например, через RCE в связке с другими векторами).

Как исправить

Единственным надежным способом устранения уязвимости является обновление Ivanti CSA до версии 5.0.2 или выше. Версии ветки 4.x более не поддерживаются и содержат данную уязвимость.

  1. Выполните резервное копирование конфигурации и создание снимка (snapshot) виртуальной машины.
  2. Перейдите в раздел управления обновлениями в консоли CSA.
  3. Проверьте наличие доступных обновлений.
  4. Установите версию 5.0.2.

Для проверки текущей версии через CLI используйте:

cat /etc/version

Если вы используете версию 4.6, необходимо выполнить миграцию на новую ОС (Ivanti CSA 5.0 базируется на AlmaLinux 9), так как простое обновление через пакетный менеджер для старых версий недоступно.

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски с помощью следующих шагов:

  1. Ограничение доступа к админ-панели: Настройте правила межсетевого экрана (ACL), чтобы доступ к порту 443 (административная консоль) был разрешен только с доверенных IP-адресов (Management VLAN или VPN).

  2. Мониторинг логов: Настройте сбор и анализ логов на наличие подозрительных SQL-запросов в HTTP-трафике. Проверяйте логи доступа:

tail -f /var/log/httpd/access_log

  1. Смена паролей: Убедитесь, что все учетные записи администраторов используют сложные пароли и многофакторную аутентификацию (MFA), чтобы предотвратить получение злоумышленником прав, необходимых для эксплуатации SQLi.

  2. Изоляция: Разместите CSA за Web Application Firewall (WAF) с активными сигнатурами для обнаружения SQL Injection.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей