CVE 2min de Leitura - 10 de outubro de 2024

Vulnerabilidade CVE-2024-29824 no Ivanti EPM está sendo ativamente explorada

CVE-2024-29824

This post is also available in: Português Español

A vulnerabilidade CVE-2024-29824, que afeta o Ivanti Endpoint Manager (EPM), foi adicionada ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), após evidências de que está sendo ativamente explorada. Essa falha não é recente e foi corrigida pela Ivanti em maio, mas atualmente está sendo explorada por cibercriminosos, colocando organizações que utilizam essa ferramenta em risco.

Detalhes da vulnerabilidade

A CVE-2024-29824 está classificada como uma vulnerabilidade de injeção SQL (SQL Injection). Esse tipo de vulnerabilidade ocorre quando os parâmetros inseridos por usuários em um sistema não são devidamente filtrados ou validados, permitindo que atacantes insiram código malicioso para manipular ou acessar bancos de dados de maneira não autorizada.

Quando uma vulnerabilidade de injeção SQL é explorada, o atacante pode enviar comandos SQL diretamente ao banco de dados da aplicação, burlando o controle de acesso e possivelmente extraindo, modificando ou excluindo dados sensíveis. Em um cenário mais grave, o controle completo do banco de dados pode ser obtido.

Como a CVE-2024-29824 funciona?

A vulnerabilidade está relacionada a uma injeção de SQL no servidor Core do Ivanti EPM 2022 SU5 e versões anteriores, permitindo que invasores não autenticados, que estejam na mesma rede, executem código arbitrário.

Segundo a Ivanti, a exploração ocorre devido a um problema na função RecordGoodApp(), localizada na DLL PatchBiz.dll, que possibilita a execução remota de código através do comando xp_cmdshell.

Pontuação CVSS e gravidade

De acordo com as métricas do CVSS, a CVE-2024-29824 possui uma pontuação alta, sendo classificada como 9.6, o que indica uma vulnerabilidade crítica. Essa classificação reflete o potencial severo de danos e a facilidade de exploração.

Embora os detalhes de como a falha está sendo explorada ainda não sejam totalmente claros, a Ivanti confirmou que clientes foram alvos dessa vulnerabilidade. A empresa destacou que um número limitado de usuários foi afetado e reforçou a necessidade de ação imediata para mitigar os riscos.

A inclusão dessa vulnerabilidade no KEV da CISA reflete o aumento de ataques explorando falhas em produtos da Ivanti nos últimos meses, com pelo menos quatro vulnerabilidades exploradas, tornando esses sistemas alvos frequentes para atacantes.

Necessidade de correção

Dada a gravidade da CVE-2024-29824, é fundamental que as organizações afetadas apliquem as correções recomendadas pela Ivanti imediatamente. A empresa já disponibilizou atualizações de segurança para mitigar essa falha, e a aplicação rápida dessas correções é essencial para evitar a exploração contínua da vulnerabilidade.

Além da aplicação de patches, recomenda-se que as organizações revisem suas políticas de segurança, implementem medidas de proteção adicionais, como monitoramento contínuo e testes de penetração, e reforcem suas defesas contra injeção SQL, utilizando ferramentas de detecção de intrusões e práticas recomendadas de codificação segura.

This post is also available in: Português Español