Toplu olarak CVE-2023-32560 olarak izlenen iki yığın tabanlı arabellek taşması, çok çeşitli mobil cihazları yönetmek, izlemek ve güvenliğini sağlamak için tasarlanmış bir kurumsal mobilite yönetimi (EMM) çözümü olan Ivanti Avalanche’ı etkiler.
Açıklar kritik olarak derecelendirilmiştir (CVSS v3: 9.8) ve kullanıcı kimlik doğrulaması olmadan uzaktan kullanılabilir ve potansiyel olarak saldırganların hedef sistemde rasgele kod yürütmesine izin verir.
Güvenlik açığı, iletişimleri 1777 numaralı TCP bağlantı noktası üzerinden alan WLAvalancheService.exe sürüm 6.4.0.0 ve daha eski sürümlerini etkiler.
Onaltılı diziler (tip 3) veya “;” ile ayrılmış ondalık diziler listesi içeren özel hazırlanmış veri paketleri gönderen bir saldırgan. (tip 9), dönüştürülen verileri depolamak için kullanılan sabit boyutlu yığın tabanlı bir arabellek nedeniyle arabellek taşmasına neden olabilir.
Arabellek taşması, bir programın bitişik bir bellek bloğuna (arabelleğe) tutabileceğinden daha fazla veri yazdığı, bu konumların üzerine yazdığı ve program çökmelerine veya rastgele kod yürütülmesine neden olduğu bir tür güvenlik sorunudur.
Yığın tabanlı arabellek taşmaları, programın yerel değişkenlerini ve dönüş adreslerini depolayan ve programın kötü amaçlı kod çalıştırmaya yönlendirilmesini mümkün kılan bir bellek bölgesi olan yığında ayrılan bölgelerin üzerine yazılmasıyla ilgilidir.
Sorunlar Tenable araştırmacıları tarafından keşfedildi ve 4 Nisan 2023’te Ivanti’ye bildirildi, 13 Nisan 2023’te satıcıyla bir kavram kanıtı paylaşıldı.
Satıcıya sorunları çözmesi için daha fazla zaman tanımak amacıyla açıklama aralığını genişlettikten sonra, 3 Ağustos 2023’te Avalanche sürüm 6.4.1 ile bir güvenlik güncellemesi yayınlandı.
Avalanche sürüm 6.4.1, CVE-2023-32560 ile birlikte CVE-2023-32561, CVE-2023-32562, CVE-2023-32563, CVE-2023-32564, CVE-2023-32565 ve CVE-2023-‘ü de düzeltir. 32566, çeşitli kimlik doğrulama atlama ve uzaktan kod yürütme kusurlarıyla ilgili.
Ivanti yazılımı kritik sistemlerde ve ayarlarda kullanılır, bu nedenle tehdit aktörleri sürekli olarak saldırılar için potansiyel ağ geçitleri oluşturan kritik öneme sahip güvenlik açıkları ararlar.
Geçen ay, bilgisayar korsanlarının Norveç hükümetinin on iki bakanlığı tarafından kullanılan bir platformu ihlal etmek ve potansiyel olarak hassas ve gizli bilgilere erişmek için Ivanti Endpoint Manager Mobile’daki (EPMM) sıfır günlük kimlik doğrulama atlama güvenlik açığından (CVE-2023-35078) yararlandıkları ortaya çıktı. .