Ivanti ha publicado actualizaciones de seguridad para abordar una falla crítica que afecta su solución Endpoint Manager (EPM) y que, si se explota con éxito, podría resultar en la ejecución remota de código (RCE) en servidores susceptibles.
Registrada como CVE-2023-39336, la vulnerabilidad ha sido calificada con 9,6 sobre 10 en el sistema de puntuación CVSS. La falencia impacta a EPM 2021 y EPM 2022 anteriores al SU5.
«Si es explotado, un atacante con acceso a la red interna puede aprovechar una inyección SQL no especificada para ejecutar consultas SQL arbitrarias y recuperar resultados sin necesidad de autenticación», Ivanti dicho en un aviso.
«Esto puede permitir al atacante controlar las máquinas que ejecutan el agente EPM. Cuando el servidor central está configurado para usar SQL express, esto podría provocar RCE en el servidor central».
La divulgación llegó semanas después de que la empresa resuelto casi dos docenas de fallas de seguridad en su solución de administración de dispositivos móviles (MDM) empresarial Avalanche.
De los 21 problemas, 13 están calificados como críticos (puntuaciones CVSS: 9,8) y se han caracterizado como desbordamientos de búfer no autenticados. Se han parcheado en Avalanche 6.4.2.
«Un atacante que envía paquetes de datos especialmente diseñados al servidor de dispositivos móviles puede provocar daños en la memoria, lo que podría provocar una denegación de servicio (DoS) o la ejecución de código», Ivanti dicho.
Si bien no hay evidencia de que estas debilidades antes mencionadas hayan sido explotadas en la naturaleza, los actores respaldados por el estado, en el pasado, explotaron fallas de día cero (CVE-2023-35078 y CVE-2023-35081) en Ivanti Endpoint Manager Mobile ( EPMM) para infiltrarse en las redes de múltiples organizaciones gubernamentales noruegas.
Un mes después, otra vulnerabilidad crítica en el producto Ivanti Sentry (CVE-2023-38035, puntuación CVSS: 9,8) fue objeto de explotación activa como día cero.