Lunedì la US Cybersecurity and Infrastructure Safety Company (CISA) aggiunto Cinque difetti per la sicurezza che incidono Advantive Veracore e Ivanti Endpoint Supervisor (EPM) alle sue vulnerabilità sfruttate be aware (Kev) Catalogo, basato sull’evidenza di sfruttamento attivo in natura.
L’elenco delle vulnerabilità è il seguente –
- CVE-2024-57968 – Un file senza restrizioni Carica la vulnerabilità in Veracore avanzato che consente a un aggressore non autentico remoto di caricare file su cartelle non intenzionali tramite add.apsx
- CVE-2025-25181 – Una vulnerabilità di iniezione SQL in Veracore avanzato che consente a un aggressore remoto di eseguire comandi SQL arbitrari
- CVE-2024-13159 – Una vulnerabilità di attraversamento del percorso assoluto nell’EPM IVANTI che consente a un utente malintenzionato remoto non autenticato di perdere informazioni sensibili
- CVE-2024-13160 – Una vulnerabilità di attraversamento del percorso assoluto nell’EPM IVANTI che consente a un utente malintenzionato remoto non autenticato di perdere informazioni sensibili
- CVE-2024-13161 – Una vulnerabilità di attraversamento del percorso assoluto nell’EPM IVANTI che consente a un utente malintenzionato remoto non autenticato di perdere informazioni sensibili
Lo sfruttamento delle vulnerabilità di Veracore è stato attribuito Probabilmente un attore di minaccia vietnamita di nome XE Group, che è stato osservato che fa cadere conchiglie inverse e gusci Net per mantenere un persistente accesso remoto a sistemi compromessi.
D’altra parte, attualmente non ci sono rapporti pubblici su come i tre difetti dell’EPM IVanti vengono armati in attacchi del mondo reale. Un exploit di prova del concetto (POC) period rilasciato di Horizon3.ai il mese scorso. La società di sicurezza informatica li ha descritti come bug di “coercizione credenziale” che potrebbero consentire a un utente malintenzionato non autenticato di compromettere i server.
Alla luce dello sfruttamento attivo, è essenziale che le agenzie Federal Civil Government Department) applichino le patch necessarie entro il 31 marzo 2025.
Lo sviluppo arriva come la società di intelligence delle minacce Greynose ha avvertito dello sfruttamento di massa di CVE-2024-4577una vulnerabilità critica che influisce su PHP-CGI, con picchi nell’attività di attacco mirano al Giappone, Singapore, Indonesia, Regno Unito, Spagna e India.
“Più del 43% degli IP mirati a CVE-2024-4577 negli ultimi 30 giorni provengono dalla Germania e dalla Cina”, Greynoise disseaggiungendolo “ha rilevato un picco coordinato nei tentativi di sfruttamento contro le reti in più paesi, suggerendo una scansione automatizzata aggiuntiva per obiettivi vulnerabili” a febbraio.
