美国网络安全和基础设施安全局（CISA）在其已知漏洞目录中增加了 Fortinet 产品和 Ivanti CSA 漏洞。
美国网络安全和基础设施安全局 (CISA) 在其已知漏洞 (KEV) 目录中增加了以下漏洞：

• CVE-2024-23113 (CVSS 得分 9.8) Fortinet 多种产品格式字符串漏洞。Fortinet FortiOS 中使用外部控制的格式字符串，允许攻击者通过特制数据包执行未经授权的代码或命令。
• CVE-2024-9379（CVSS 得分 6.5）在 5.0.2 版之前的 Ivanti CSA 的管理 web 控制台中存在 SQL 注入。具有管理员权限的远程验证攻击者可利用此漏洞运行任意 SQL 语句。
• CVE-2024-9380 (CVSS 得分 7.2) – 版本 5.0.2 之前的 Ivanti CSA 管理員網頁主控台中的作業系統指令注入漏洞。拥有管理员权限的远程验证攻击者可利用该漏洞实现远程代码执行。

上周，Ivanti 警告说，其云服务设备 (CSA) 中存在三个新的安全漏洞（CVE-2024-9379、CVE-2024-9380 和 CVE-2024-9381），这些漏洞在野外攻击中被积极利用。

威胁者正在将这三个漏洞与该软件公司 9 月份解决的 CSA 零日漏洞 CVE-2024-8963（CVSS 得分为 9.4）进行连锁。

威胁者可以利用这些漏洞实施 SQL 注入攻击，通过命令注入执行任意代码，以及通过滥用易受攻击的 CSA 网关上的路径遍历弱点绕过安全限制。

“Ivanti 发布的公告中写道：”据我们所知，当 CVE-2024-9379、CVE-2024-9380 或 CVE-2024-9381 与 CVE-2024-8963 相连时，运行 CSA 4.6 补丁 518 及以前版本的少数客户已被利用。“我们没有证据表明任何其他漏洞在野外被利用。这些漏洞不会影响任何其他 Ivanti 产品或解决方案”。

根据约束性操作指令（BOD）22-01： 减少已知漏洞被利用的重大风险》，FCEB 各机构必须在规定日期前解决已发现的漏洞，以保护其网络免受利用目录中漏洞的攻击。

专家还建议私营机构审查目录并解决其基础设施中的漏洞。

CISA 命令联邦机构在 2024 年 10 月 30 日前修复该漏洞。