Ivanti ha recentemente avvertito di una vulnerabilità di sicurezza appena risolta nel suo Cloud Service Appliance (CSA), che è attualmente sotto sfruttamento attivo. La vulnerabilità ad alta gravità, identificata come CVE-2024-8190 con un punteggio CVSS di 7.2, consente l'esecuzione di codice remoto in determinate circostanze. Ivanti ha dichiarato in un avviso che "una vulnerabilità di iniezione di comandi OS nelle versioni 4.6 Patch 518 e precedenti di Ivanti Cloud Services Appliance permette a un attaccante autenticato di ottenere l'esecuzione di codice remoto". Tuttavia, l'attaccante deve disporre di privilegi di amministratore per sfruttare questa vulnerabilità.

Questa falla influenza Ivanti CSA 4.6, che ha raggiunto lo stato di fine vita, e richiede pertanto che i clienti aggiornino a una versione supportata. La vulnerabilità è stata risolta nella Patch 519 di CSA 4.6, ma Ivanti ha sottolineato che "con lo stato di fine vita, questo è l'ultimo fix che Ivanti farà il backport per questa versione". Pertanto, i clienti devono aggiornare a Ivanti CSA 5.0 per continuare a ricevere supporto. Ivanti ha confermato che "CSA 5.0 è l'unica versione supportata e non contiene questa vulnerabilità. I clienti che già eseguono Ivanti CSA 5.0 non devono intraprendere ulteriori azioni".

Ivanti ha inoltre aggiornato il suo avviso per notare che è stata osservata una confermata esploitazione della vulnerabilità sul campo, mirata a un "numero limitato di clienti". Non sono stati rivelati ulteriori dettagli relativi agli attacchi o all'identità degli attori delle minacce che li stanno sfruttando. Tuttavia, è noto che diverse altre vulnerabilità nei prodotti Ivanti sono state sfruttate come zero-day da gruppi di cyber spionaggio con legami con la Cina.

Questo sviluppo ha spinto l'Agenzia per la Sicurezza delle Infrastrutture e della Cybersecurity degli Stati Uniti (CISA) ad aggiungere questa vulnerabilità al suo catalogo delle Vulnerabilità Sfruttate Conosciute (KEV), richiedendo alle agenzie federali di applicare le correzioni entro il 4 ottobre 2024. La divulgazione avviene anche mentre la società di cybersecurity Horizon3.ai ha pubblicato un'analisi tecnica dettagliata di una vulnerabilità critica di deserializzazione (CVE-2024-29847, punteggio CVSS: 10.0) che impatta Endpoint Manager (EPM), risultando nell'esecuzione di codice remoto.