De US Cybersecurity and Infrastructure Security Agency (CISA) heeft maandag vijf beveiligingsfouten toegevoegd die van invloed zijn op Advantive Veracore en Ivanti Endpoint Manager (EPM) aan de bekende Catalogus voor exploitatedulnerabilities (KEV), gebaseerd op bewijs van actieve uitbuiting in het wild.
De lijst met kwetsbaarheden is als volgt –
- CVE-2024-57968 – Een onbeperkte kwetsbaarheid voor het uploaden van bestanden in Advantive Veracore waarmee een externe niet -geauthenticeerde aanvaller bestanden kan uploaden naar onbedoelde mappen via upload.apsx
- CVE-2025-25181 – Een SQL -injectie -kwetsbaarheid in Advantive Veracore waarmee een externe aanvaller willekeurige SQL -opdrachten kan uitvoeren
- CVE-2024-13159 – Een absolute kwetsbaarheid van de padverweging in Ivanti EPM waarmee een afgelegen niet -geverifieerde aanvaller gevoelige informatie kan lekken
- CVE-2024-13160 – Een absolute kwetsbaarheid van de padverweging in Ivanti EPM waarmee een afgelegen niet -geverifieerde aanvaller gevoelige informatie kan lekken
- CVE-2024-13161 – Een absolute kwetsbaarheid van de padverweging in Ivanti EPM waarmee een afgelegen niet -geverifieerde aanvaller gevoelige informatie kan lekken
De exploitatie van Veracore -kwetsbaarheden is toegeschreven aan waarschijnlijk een Vietnamese dreigingsacteur genaamd XE Group, die is waargenomen om omgekeerde shells en webschalen te laten vallen om aanhoudende externe toegang tot gecompromitteerde systemen te behouden.
Aan de andere kant zijn er momenteel geen openbare rapporten over hoe de drie ivanti EPM-fouten worden bewapend in real-world aanvallen. Een proof-of-concept (POC) exploit werd vorige maand vrijgegeven door Horizon3.ai. Het cybersecuritybedrijf beschreef hen als “referentieverkeer” -bugs die een niet -geauthenticeerde aanvaller in staat zouden stellen de servers in gevaar te brengen.
In het licht van actieve uitbuiting is het essentieel dat agentschappen van de Federal Civilian Executive Branch (FCEB) de benodigde patches toepassen tegen 31 maart 2025.
De ontwikkeling komt als bedreigingsinlichtingenbedrijf Greynose waarschuwde voor massale uitbuiting van CVE-2024-4577, een kritieke kwetsbaarheid die PHP-CGI beïnvloedt, met pieken in aanvalsactiviteit gericht op Japan, Singapore, Indonesië, het Verenigd Koninkrijk, Spanje en India.
“Meer dan 43% van de IP’s gericht op CVE-2024-4577 in de afgelopen 30 dagen komen uit Duitsland en China,” zei Greynoise, en voegde eraan toe “detecteerde een gecoördineerde piek in exploitatiepogingen tegen netwerken in meerdere landen, wat suggereert dat aanvullende geautomatiseerde scanning voor kwetsbare doelen” in februari “.
