Bir kurumsal mobilite yönetimi çözümü olan Ivanti Avalanche’da iki yığın tabanlı arabellek taşması hatası (topluca CVE-2023-32560 olarak adlandırılır) keşfedildi.
Bir arabellekteki veriler depolama kapasitesini aştığında bir arabellek taşması ortaya çıkar. Bu fazla veri yakındaki bellek konumlarına taşarak bu tür verilerin bozulmasına veya üzerine yazılmasına neden olur.
CVE-2023-32560 hakkında
CVE-2023-32560, bir tehdit aktörünün Wavelink Avalanche Manager’a özel olarak tasarlanmış bir mesaj göndermesine izin vererek potansiyel olarak hizmet kesintisine veya rastgele kod yürütülmesine neden olabilir.
Güvenlik açığı, WLAvanacheServer.exe v6.4.0.0 ve daha eski sürümlerini etkiliyor ve Tenable araştırmacıları tarafından Nisan 2023’te bildirildi. Ayrıca Ivanti ile bir PoC istismarını paylaştılar ve 14 Ağustos’ta ek teknik bilgiler yayınladılar.
Ivanti, 3 Ağustos 2023’te ek RCE ve kimlik doğrulama atlama güvenlik açıklarını da düzelten Avalanche sürüm 6.4.1 güvenlik güncellemesini yayınladı (CVE-2023-32561, CVE-2023-32562, CVE-2023-32563, CVE-2023-32564, CVE -2023-32565, CVE-2023-32566).
Kurumsal mobil yönetici çözümlerinin cazibesi
Ivanti’nin çözümlerinin yaygın olarak uygulanması, potansiyel güvenlik açıklarından yararlanmaya ve değerli kurumsal verilere yetkisiz erişim elde etmeye çalışan kötü niyetli aktörlerin dikkatini çekti.
Yakın zamanda Ivanti Endpoint Manager Mobile’ı (EPMM) etkileyen üç güvenlik açığı bildirdik.
Bir kimlik doğrulama atlama güvenlik açığı olan CVE-2023-35078, 12 Norveç bakanlığını ihlal etmek için uzaktan rastgele dosya yazma güvenlik açığı olan CVE-2023-35081 ile birlikte kullanıldı.
Kimliği doğrulanmamış uzaktan API erişimi güvenlik açığı olan CVE-2023-35082, kimliği doğrulanmamış uzak bir tehdit aktörünün, kullanıcıların eski MobileIron Core sürümlerinde (Ivanti EPMM olarak yeniden adlandırıldı) PII’sine erişmesine ve sunucuda değişiklikler yapmasına izin verebilir.