Ivanti, Avalanche mobil cihaz yönetimi (MDM) çözümündeki 27 güvenlik açığını düzeltmek için güvenlik güncellemeleri yayınladı; bunlardan ikisi, uzaktan komut yürütmek için kullanılabilecek kritik yığın taşmaları.
Avalanche, kurumsal yöneticiler tarafından tek bir merkezi konumdan 100.000’den fazla mobil cihazdan oluşan büyük filolarda yazılımı uzaktan yönetmek, dağıtmak ve güncellemeleri planlamak için kullanılır.
Şirketin Çarşamba günü açıkladığı gibi, Avalanche’ın WLInfoRailService ve WLAvalancheService bileşenlerinde iki kritik güvenlik açığı (CVE-2024-24996 ve CVE-2024-29204) bulundu.
Bunların her ikisi de, kimliği doğrulanmamış uzak saldırganların, kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda savunmasız sistemler üzerinde rastgele komutlar yürütmesine olanak tanıyan yığın tabanlı arabellek taşması zayıflıklarından kaynaklanmaktadır.
Ivanti bugün ayrıca uzak saldırganların hizmet reddi saldırılarını tetiklemek, SİSTEM olarak rastgele komutları yürütmek, bellekten hassas bilgileri okumak ve uzaktan kod yürütme saldırılarını tetiklemek için kullanabileceği 25 orta ve yüksek önem dereceli hatayı da yamaladı.
Şirket, Salı günü yayınlanan bir güvenlik tavsiyesinde, “Hiçbir müşterinin kamuya açıklanmadan önce bu güvenlik açıklarından yararlandığını bilmiyoruz. Bu güvenlik açıkları, sorumlu açıklama programımız aracılığıyla açıklandı.” dedi.
“Aşağıda listelenen güvenlik açıklarını gidermek için Avalanche yükleyicisini indirmeniz ve en son Avalanche 6.4.3 sürümüne güncellemeniz önemle tavsiye edilir.”
Müşteriler en son Avalanche 6.4.3 sürümünü burada bulabilir ve yükseltme adımlarına ilişkin daha fazla bilgiyi bu destek makalesinde bulabilir.
Ivanti, Ağustos ayında toplu olarak CVE-2023-32560 olarak takip edilen diğer iki kritik Avalanche arabellek taşmasını düzelttikten sonra Aralık ayında Avalanche MDM çözümünde 13 kritik önem derecesine sahip uzaktan kod yürütme güvenlik açığını daha yamaladı.
Devlete bağlı bilgisayar korsanları, bir yıl önce birden fazla Norveç devlet kuruluşunun ağlarına sızmak için Ivanti’nin eski adı MobileIron Core olan Endpoint Manager Mobile’da (EPMM) iki sıfır gün açığını (CVE-2023-35078 ve CVE-2023-35081) kullandı. .
Aylar sonra saldırganlar, bir düzine Norveç bakanlığının BT sistemlerine de sızmak için üçüncü bir MobileIron Core sıfır gününü (CVE-2023-35081) CVE-2023-35078 ile zincirlediler.
Geçen Ağustos ayında CISA, “Mobil cihaz yönetimi (MDM) sistemleri, binlerce mobil cihaza yüksek erişim sağladığı ve APT aktörlerinin daha önceki bir MobileIron güvenlik açığından yararlandığı için tehdit aktörleri için çekici hedeflerdir.” uyarısında bulundu.
“Sonuç olarak, CISA ve NCSC-NO, hükümet ve özel sektör ağlarındaki yaygın sömürü potansiyelinden endişe duyuyor.”