Ivanti a publié des mises à jour de sécurité pour corriger une faille critique affectant sa solution Endpoint Manager (EPM) qui, si elle est exploitée avec succès, pourrait entraîner l’exécution de code à distance (RCE) sur des serveurs sensibles.
Suivie comme CVE-2023-39336, la vulnérabilité a été notée 9,6 sur 10 sur le système de notation CVSS. La lacune affecte les EPM 2021 et EPM 2022 antérieurs à SU5.
« S’il est exploité, un attaquant ayant accès au réseau interne peut exploiter une injection SQL non spécifiée pour exécuter des requêtes SQL arbitraires et récupérer le résultat sans avoir besoin d’authentification », Ivanti dit dans un avis.
« Cela peut alors permettre à l’attaquant de contrôler les machines exécutant l’agent EPM. Lorsque le serveur principal est configuré pour utiliser SQL Express, cela peut conduire à un RCE sur le serveur principal. »
La divulgation est arrivée des semaines après que l’entreprise résolu près de deux douzaines de failles de sécurité dans sa solution de gestion des appareils mobiles (MDM) d’entreprise Avalanche.
Sur les 21 problèmes, 13 sont jugés critiques (scores CVSS : 9,8) et ont été caractérisés comme des débordements de tampon non authentifiés. Ils ont été corrigés dans Avalanche 6.4.2.
« Un attaquant envoyant des paquets de données spécialement conçus au serveur de périphériques mobiles peut provoquer une corruption de la mémoire, ce qui pourrait entraîner un déni de service (DoS) ou l’exécution de code », Ivanti dit.
Bien qu’il n’y ait aucune preuve que ces faiblesses susmentionnées aient été exploitées à l’état sauvage, des acteurs soutenus par l’État ont, dans le passé, exploité des failles zero-day (CVE-2023-35078 et CVE-2023-35081) dans Ivanti Endpoint Manager Mobile ( EPMM) pour infiltrer les réseaux de plusieurs organisations gouvernementales norvégiennes.
Un mois plus tard, une autre vulnérabilité critique du produit Ivanti Sentry (CVE-2023-38035, score CVSS : 9,8) a été activement exploitée en tant que zero-day.