This post is also available in: Português Español
La vulnerabilidad CVE-2024-29824, que afecta a Ivanti Endpoint Manager (EPM), ha sido agregada al catálogo de vulnerabilidades explotadas conocidas (KEV) por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) tras la evidencia de que está siendo explotada activamente. Esta falla no es nueva y Ivanti la solucionó en mayo, pero actualmente está siendo explotada por ciberdelincuentes, poniendo en riesgo a las organizaciones que utilizan esta herramienta.
Detalles sobre la vulnerabilidad
CVE-2024-29824 está clasificada como una vulnerabilidad de inyección SQL. Este tipo de vulnerabilidad ocurre cuando los parámetros ingresados por los usuarios en un sistema no se filtran o validan adecuadamente, lo que permite a los atacantes insertar código malicioso para manipular o acceder a bases de datos de manera no autorizada.
Cuando se explota una vulnerabilidad de inyección SQL, el atacante puede enviar comandos SQL directamente a la base de datos de la aplicación, evitando el control de acceso y posiblemente extrayendo, modificando o eliminando datos confidenciales. En un escenario más grave, se puede obtener un control total de la base de datos.
¿Cómo funciona la CVE-2024-29824?
La vulnerabilidad está relacionada con una inyección de SQL en el servidor central de Ivanti EPM 2022 SU5 y versiones anteriores, lo que permite a atacantes no autenticados en la misma red ejecutar un código arbitrario.
Según Ivanti, la explotación se produce debido a un problema en la función RecordGoodApp(), ubicada en la DLL PatchBiz.dll, que permite la ejecución remota de código a través del comando xp_cmdshell.
Puntuación CVSS y su gravedad
Según las métricas CVSS, CVE-2024-29824 tiene una puntuación alta, siendo clasificado como 9.6, lo que indica una vulnerabilidad crítica. Esta calificación refleja el grave potencial de daños y la facilidad de explotación.
Si bien los detalles de cómo se está explotando la falla aún no están del todo claros, Ivanti ha confirmado que los clientes han sido atacados por esta vulnerabilidad. La compañía destacó que un número limitado de usuarios se vieron afectados y reforzó la necesidad de tomar medidas inmediatas para mitigar los riesgos.
La inclusión de esta vulnerabilidad en el KEV de CISA refleja el aumento de ataques que explotan fallas en los productos Ivanti en los últimos meses, con al menos cuatro vulnerabilidades explotadas, lo que convierte a estos sistemas en objetivos frecuentes para los atacantes.
Necesidad de corrección
Dada la gravedad de CVE-2024-29824, es fundamental que las organizaciones afectadas apliquen las correcciones recomendadas por Ivanti de inmediato. La compañía ya ha publicado actualizaciones de seguridad para mitigar esta falla, y aplicar rápidamente estas correcciones es esencial para evitar la explotación continua de la vulnerabilidad.
Además de aplicar parches, se recomienda que las organizaciones revisen sus políticas de seguridad, implementen medidas de protección adicionales, como monitoreo continuo y pruebas de penetración, y fortalezcan sus defensas contra la inyección de SQL utilizando herramientas de detección de intrusiones y mejores prácticas de seguridad.
This post is also available in: Português Español