Ivanti Salı günü, Endpoint Manager’daki (EPM) belirli koşullar altında uzaktan kod yürütmek için kullanılabilecek çok sayıda kritik güvenlik açığını gidermek için düzeltmeler yayınladı.
10 güvenlik açığından altısı – CVE-2024-29822’den CVE-2024-29827’ye kadar (CVSS puanları: 9,6) – kimliği doğrulanmamış bir saldırganın aynı ağ içinde rastgele kod yürütmesine olanak tanıyan SQL enjeksiyon kusurlarıyla ilgilidir.
Geriye kalan dört hata (CVE-2024-29828, CVE-2024-29829, CVE-2024-29830 ve CVE-2024-29846 (CVSS puanları: 8,4)) da aynı kategoriye giriyor; tek değişiklik şu: saldırganın kimliğinin doğrulanmasını gerektirirler.
Eksiklikler, Ivanti EPM 2022 SU5 ve önceki sürümlerinin Core sunucusunu etkiliyor.
Şirket ayrıca ele alinan Avalanche sürüm 6.4.3.602’deki (CVE-2024-29848, CVSS puanı: 7.2) bir saldırganın özel hazırlanmış bir dosyayı yükleyerek uzaktan kod yürütmesine olanak tanıyan yüksek önemde bir güvenlik açığı.
Ayrıca yamalar da gönderildi diğer beş yüksek önem dereceli güvenlik açığı: ITSM için Neurons’ta bir SQL enjeksiyonu (CVE-2024-22059) ve sınırsız dosya yükleme hatası (CVE-2024-22060), Connect Secure’da bir CRLF enjeksiyon hatası (CVE-2023-38551) ve iki yerel ayrıcalık yükseltme sorunu Windows (CVE-2023-38042) ve Linux (CVE-2023-46810) için Güvenli Erişim istemcisinde.
Ivanti, kusurların doğada istismar edildiğine veya bunların bir tedarik zinciri saldırısı yoluyla “kod geliştirme sürecimize kötü niyetli olarak dahil edildiğine” dair hiçbir kanıt bulunmadığını vurguladı.
Bu gelişme, Netflix tarafından geliştirilen Genie federe Büyük Veri orkestrasyonu ve yürütme motorunun açık kaynak sürümündeki (CVE-2024-4701, CVSS puanı: 9,9) uzaktan kod yürütülmesine yol açabilecek kritik bir kusur hakkında ayrıntıların ortaya çıkmasıyla birlikte geldi.
Yol geçişi güvenlik açığı olarak tanımlanan bu eksiklik, dosya sistemine rastgele bir dosya yazmak ve rastgele kod çalıştırmak için kullanılabilir. Yazılımın 4.3.18’den önceki tüm sürümlerini etkiler.
Sorun, Genie’nin REST API’sinin, isteğin bir parçası olarak kullanıcı tarafından sağlanan bir dosya adını kabul edecek şekilde tasarlanmış olması ve böylece kötü niyetli bir aktörün, varsayılan ek depolama yolundan çıkıp bir dosya yazabilecek şekilde bir dosya adı oluşturmasına olanak sağlamasından kaynaklanmaktadır. Kullanıcı tarafından belirtilen herhangi bir adla, aktör tarafından belirtilen bir yola.
Bakımcılar, “Kendi örneğini çalıştıran ve Genie uygulamasına gönderilen dosya eklerini depolamak için dosya sistemine güvenen herhangi bir Genie OSS kullanıcısı etkilenebilir” dedi. söz konusu bir danışma belgesinde.
“Bu tekniği kullanarak, Java işleminin yazma erişimine sahip olduğu dosya sistemindeki herhangi bir konuma, kullanıcı tarafından belirlenen herhangi bir dosya adı ve dosya içeriğine sahip bir dosya yazmak mümkündür; bu da potansiyel olarak uzaktan kod yürütülmesine (RCE) yol açar.”
Bununla birlikte, ekleri yerel olarak temel dosya sisteminde saklamayan kullanıcılar bu sorundan etkilenmez.
“Başarılı olması durumunda, böyle bir saldırı, bir web uygulamasını kandırarak, arka uç sistemlerin kimlik bilgileri, uygulama kodu ve verileri ve hassas dosyalar da dahil olmak üzere, uygulamanın veya web sunucusunun belge kök dizini dışındaki dosyaların içeriğini okumaya ve dolayısıyla açığa çıkarmaya yönlendirebilir. işletim sistemi dosyaları,” Kontrast Güvenlik araştırmacısı Joseph Beeton söz konusu.
Bu ayın başlarında ABD hükümeti, tehdit aktörlerinin hedefleri aşmak için yazılımdaki dizin geçiş kusurlarından yararlanmaya yönelik devam eden girişimleri konusunda uyardı ve geliştiricilere yeni bir güvenlik önlemi benimsemeleri çağrısında bulundu. tasarım yaklaşımıyla güvenli Bu tür güvenlik açıklarını ortadan kaldırmak için.
Hükümet, “Bu risk azaltma işleminin başlangıçta (tasarım aşamasında başlayıp ürün sürümü ve güncellemeler boyunca devam ederek) dahil edilmesi, hem müşteriler üzerindeki siber güvenlik yükünü hem de kamuya yönelik riski azaltır.” söz konusu.
Açıklama aynı zamanda Honeywell’in Control Edge Unit Operations Controller’ında (UOC) kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine neden olabilecek çeşitli güvenlik açıklarının (CVE-2023-5389 ve CVE-2023-5390) ardından geldi.
Claroty, “Halihazırda bir OT ağında bulunan bir saldırgan, bu güvenlik açığından yararlanmak ve sanal denetleyiciyi tehlikeye atmak için kötü amaçlı bir ağ paketi kullanacaktır.” söz konusu. “Bu saldırı, dosyaları değiştirmek için uzaktan gerçekleştirilebilir, bu da denetleyicinin tam kontrolüne ve kötü amaçlı kodların yürütülmesine neden olabilir.”