CVE-2024-8190: как Ivanti упустила из рук 0day

10 сентября 2024 года компания Ivanti выпустила уведомление о безопасности, касающееся уязвимости нулевого дня в продукте Cloud Service Appliance (CSA). Ошибка на первый взгляд не представляла особого интереса, так как, по словам Ivanti, она требует аутентификации для эксплуатации. Однако уже 13 сентября уязвимость была добавлена в каталог CISA KEV, что вызвало повышенное внимание специалистов Horizon3.

Уязвимость внедрения команд CVE-2024-8190 (оценка CVSS: 7.2) затрагивает операционную систему Cloud Service Appliance версий 4.6 Patch 518 и более ранних. Ошибка может привести к несанкционированному доступу к устройству. В конфигурациях, где устройство подключено к двум сетям, с внутренним интерфейсом на ETH-0, риск эксплуатации значительно снижается.

Для эксплуатации злоумышленнику необходимы права администратора на устройстве. Эксперты отметили, что ошибка может быть случайно подвергнута внешнему воздействию из-за неправильной конфигурации сетевых интерфейсов устройства.

Исследуя обновления безопасности, специалисты обнаружили, что Cloud Service Appliance использует PHP-интерфейс, а исправление включает обновление нескольких файлов PHP. Одним из ключевых моментов стало обнаружение функции handleDateTimeSubmit, которая взаимодействует с уязвимой функцией обработки параметра TIMEZONE. В исходной версии отсутствовала валидация входных данных, что позволяло злоумышленникам передавать произвольные команды на выполнение.

Разработка эксплойта показала, что уязвимая функция находится в скрипте /datetime.php, доступном через «внутренний» интерфейс с обязательной аутентификацией. Эксплуатировать уязвимость можно, предоставив имя пользователя и пароль, что подтверждает риск для пользователей, не соблюдающих рекомендации по настройке.

Ivanti рекомендовала конфигурировать ETH-0 как внутренний интерфейс, и тесты подтвердили, что доступ через внешние интерфейсы (ETH-1) приводит к ошибке 403 Forbidden, что защищает устройство от атак извне. Однако пользователи, которые случайно перепутали интерфейсы или не настроили их должным образом, подвергают консоль риску быть доступной через интернет.

Кроме того, при открытом доступе через интернет устройство не ограничивает попытки ввода комбинаций имени пользователя и пароля, что повышает вероятность успешной атаки при слабом пароле. Хотя по умолчанию устройство использует учетные данные admin, при первом входе система требует их обязательного изменения.

Эксперты предполагают, что взломанные устройства, вероятно, либо никогда не были настроены должным образом, либо имели ненадежные пароли, что способствовало успешной эксплуатации уязвимости. В качестве индикаторов компрометации были отмечены специфические записи в логах, указывающие на неудачные попытки входа и успешную аутентификацию. Пользователям рекомендуется проверять логи на наличие таких записей и своевременно обновлять устройства для устранения уязвимости.