Ivanti Cloud Services Appliance (CSA) è ampiamente utilizzato per garantire la connettività sicura degli endpoint remoti e gestire attività amministrative. Una vulnerabilità recentemente divulgata, CVE-2024-11639, interessa le versioni di CSA precedenti alla 5.0.3 e consente agli aggressori di bypassare l’autenticazione nella console web di amministrazione senza credenziali.

Scansioni pubbliche hanno rilevato oltre 6.000 istanze esposte online, evidenziando l’urgenza di affrontare il problema.

Riassunto tecnico

CVE-2024-11639 è una vulnerabilità di bypass dell’autenticazione che consente ad attaccanti remoti e non autenticati di ottenere accesso con privilegi di amministratore ai sistemi Ivanti CSA. L’errore deriva da una falla logica nel processo di autenticazione, che lascia i sistemi vulnerabili ad abusi.

Con un punteggio CVSS di 10.0 (Critico), lo sfruttamento può comportare:

• Controllo completo da parte dell’aggressore sull’appliance.
• Esposizione di configurazioni e dati sensibili.
• Potenziale compromissione degli endpoint connessi.

Questa vulnerabilità è confermata nelle versioni di Ivanti CSA precedenti alla 5.0.3. Una patch correttiva è stata rilasciata, ma i sistemi non aggiornati rimangono ad alto rischio.

Raccomandazioni

Agire immediatamente per mettere in sicurezza l’ambiente:

1. Aggiornare a Ivanti CSA 5.0.3 o versioni successive:
   Assicurarsi che la patch di sicurezza più recente sia applicata per eliminare questa vulnerabilità.

2. Limitare l’accesso amministrativo:
   Utilizzare regole firewall o VPN per consentire l’accesso solo da reti o IP fidati.

3. Audit e monitoraggio:
   Controllare regolarmente i log di accesso alla ricerca di attività anomale che possano indicare accessi non autorizzati.