CVE-2024-9380

Суть уязвимости

CVE-2024-9380 представляет собой критическую уязвимость типа OS Command Injection (инъекция команд операционной системы) в административной консоли Ivanti Cloud Services Appliance (CSA) версий 4.6 и ниже.

Уязвимость позволяет аутентифицированному злоумышленнику с правами администратора приложения выполнять произвольные команды в подлежащей операционной системе. Данная брешь часто используется в цепочке с другими уязвимостями (например, CVE-2024-8963) для обхода аутентификации и получения полного контроля над устройством. Ivanti подтверждает, что данная уязвимость эксплуатируется «в дикой природе».

Как исправить

Единственным надежным способом устранения уязвимости является обновление программного обеспечения до актуальной версии.

Важное примечание: Ivanti CSA 4.6 достигла стадии End-of-Life (EOL). Пользователям необходимо немедленно перейти на версию CSA 5.0.

1. Загрузите актуальный патч или образ CSA 5.0 с официального портала Ivanti.
2. Выполните обновление через стандартный интерфейс управления или переустановите систему на новую версию.
3. После обновления проверьте версию системы:

cat /etc/version

Временные меры

Если немедленное обновление невозможно, необходимо принять следующие меры для снижения риска эксплуатации:

1. Ограничьте доступ к административному интерфейсу (порт 443), разрешив подключения только с доверенных IP-адресов или через VPN.
2. Проверьте систему на наличие признаков компрометации (несанкционированные учетные записи, подозрительные процессы).
3. Проверьте логи доступа на наличие необычных запросов к административной консоли:

grep "admin" /var/log/httpd/access_log

1. Настройте внешние средства защиты (WAF/IPS) для блокировки подозрительных POST-запросов к веб-интерфейсу управления.
2. Регулярно проверяйте список пользователей с правами администратора:

cat /etc/passwd