NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in Ivanti Cloud Services Appliance
Advisory ID     : NCSC-2024-0379
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2024-8190, CVE-2024-8963
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Improper Limitation of a Pathname to a Restricted
                  Directory ('Path Traversal')
                  Improper Neutralization of Special Elements used in an
                  OS Command ('OS Command Injection')
Uitgiftedatum   : 20240920
Toepassing      : ivanti cloud_services_appliance
                  ivanti csa
Versie(s)       :
Platform(s)     :

Beschrijving
   Ivanti heeft kwetsbaarheden verholpen in Cloud Services Appliance v
   4.6.

   Een kwaadwillende kan de kwetsbaarheden misbruiken om via een path-
   traversal een command-injection uit te voeren, waardoor het systeem
   zonder voorafgaande authenticatie kan worden bediend en mogelijk
   overgenomen. Ivanti geeft aan informatie te hebben dat de
   kwetsbaarheden bij een kleine groep klanten is misbruikt. Ook het
   Amerikaanse CISA meldt via de Known Exploited Vulnerability Database
   dat de kwetsbaarheden gericht zijn misbruikt.
   Systemen die, tegen het advies van Ivanti in, geïmplementeerd zijn
   als Single-home systeem, ofwel waar eth0 zowel het interne als het
   externe netwerk bedient, lopen verhoogd risico tot misbruik.
   **CSA 4.6 is End-of-Life**. Gebruikers van CSA die inmiddels
   overgegaan zijn naar CSA 5 zijn NIET kwetsbaar. In tegenstelling tot
   het standaard beleid van Ivanti, heeft Ivanti alsnog gekozen om
   updates uit te brengen om deze kwetsbaarheden te verhelpen in het EOL
   v 4.6.

Mogelijke oplossingen
   Ivanti heeft alsnog gekozen om een update uit te brengen om de
   kwetsbaarheden te verhelpen in v4.6 Patch 519. Het NCSC wijst er
   echter wel op dat v 4.6 van de Cloud Services Appliance sinds juni
   2024 End-of-Life is en geen updates meer heeft ontvangen, met
   uitzondering van deze. Het is daarom aan te raden de verouderde
   systeem te vervangen voor een nieuwer, ondersteund systeem, versie 5
   of hoger.
   Zie verder de bijgevoegde referenties voor meer informatie.

   Referenties:
      Reference - cisagov; cveprojectv5; nvd
      https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-
      Cloud-Service-Appliance-CSA-CVE-2024-8190

      Reference - cisagov; cveprojectv5; nvd
      https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-
      CSA-4-6-Cloud-Services-Appliance-CVE-2024-8963

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
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=smIM
-----END PGP SIGNATURE-----