Ivanti, Uç Nokta Yöneticisi (EPM) çözümünü etkileyen ve başarılı bir şekilde kullanılması durumunda duyarlı sunucularda uzaktan kod yürütülmesine (RCE) yol açabilecek kritik bir kusuru gidermek için güvenlik güncellemeleri yayınladı.
CVE-2023-39336 olarak takip edilen güvenlik açığı, CVSS puanlama sisteminde 10 üzerinden 9,6 olarak derecelendirildi. Bu eksiklik, SU5’ten önceki EPM 2021 ve EPM 2022’yi etkilemektedir.
Ivanti, “Eğer kötüye kullanılırsa, dahili ağa erişimi olan bir saldırgan, rastgele SQL sorguları yürütmek ve kimlik doğrulamaya ihtiyaç duymadan çıktıyı almak için belirtilmemiş bir SQL enjeksiyonundan yararlanabilir.” söz konusu bir danışma belgesinde.
“Bu, saldırganın EPM aracısını çalıştıran makineler üzerinde kontrol sahibi olmasına izin verebilir. Çekirdek sunucu SQL express’i kullanacak şekilde yapılandırıldığında, bu durum çekirdek sunucuda RCE’ye yol açabilir.”
Açıklama şirketten haftalar sonra geldi çözüldü Avalanche kurumsal mobil cihaz yönetimi (MDM) çözümünde neredeyse iki düzine güvenlik açığı bulunuyor.
21 sorundan 13’ü kritik olarak derecelendirildi (CVSS puanları: 9,8) ve kimliği doğrulanmamış arabellek taşmaları olarak nitelendirildi. Bunlar Avalanche 6.4.2’de yamalanmıştır.
Ivanti, “Mobil Cihaz Sunucusuna özel hazırlanmış veri paketleri gönderen bir saldırgan, bellek bozulmasına neden olabilir ve bu da hizmet reddi (DoS) veya kod yürütülmesiyle sonuçlanabilir.” söz konusu.
Yukarıda bahsedilen bu zayıflıkların vahşi ortamda istismar edildiğine dair hiçbir kanıt olmasa da, devlet destekli aktörler geçmişte Ivanti Endpoint Manager Mobile’daki sıfır gün kusurlarından (CVE-2023-35078 ve CVE-2023-35081) yararlanmıştı ( EPMM) birden fazla Norveç hükümeti kuruluşunun ağlarına sızmak için.
Ağustos 2023’te Ivanti Sentry ürünündeki bir diğer kritik güvenlik açığı (CVE-2023-38035, CVSS puanı: 9,8) sıfır gün olarak aktif olarak istismar edildi.