Ivanti, şirketin Avalanche kurumsal mobil cihaz yönetimi (MDM) çözümündeki 13 kritik güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.
Avalanche, yöneticilerin 100.000’den fazla mobil cihazı İnternet üzerinden tek bir merkezi konumdan yönetmesine, yazılım dağıtmasına ve güncellemeleri planlamasına olanak tanır.
Ivanti’nin Çarşamba günü açıkladığı gibi, bu güvenlik kusurları, Tenable güvenlik araştırmacıları ve Trend Micro’nun Zero Day Initiative’i tarafından bildirilen WLAvalancheService yığını veya yığın tabanlı arabellek taşması zayıflıklarından kaynaklanıyor.
Kimliği doğrulanmamış saldırganlar, yama uygulanmamış sistemlerde uzaktan kod yürütme elde etmek için kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda bunlardan yararlanabilir.
Ivanti bir güvenlik danışma belgesinde, “Mobil Cihaz Sunucusuna özel hazırlanmış veri paketleri gönderen bir saldırgan, bellek bozulmasına neden olabilir ve bu da Hizmet Reddi (DoS) veya kod yürütülmesine neden olabilir” dedi.
“Güvenlik açıklarını gidermek için [..]Avalanche yükleyicisini indirmeniz ve en son Avalanche 6.4.2 sürümüne güncellemeniz önemle tavsiye edilir. Bu güvenlik açıkları, ürünlerin desteklenen tüm sürümlerini (Avalance sürüm 6.3.1 ve üzeri) etkiler. Daha eski sürümler/sürümler de risk altındadır.”
CVE Kimliği | Etkilenen Ürün / Güvenlik Açığı |
CVE-2023-41727 | Ivanti Avalanche v6.4.1 WLAvalancheService.exe Kimliği Doğrulanmamış Arabellek Taşmaları |
CVE-2023-46216 | Ivanti Avalanche v6.4.1 WLAvalancheService.exe Kimliği Doğrulanmamış Arabellek Taşmaları |
CVE-2023-46217 | Ivanti Avalanche v6.4.1 WLAvalancheService.exe Kimliği Doğrulanmamış Arabellek Taşmaları |
CVE-2023-46220 | Ivanti Avalanche WLAvalancheService Yığın Tabanlı Arabellek Taşması RCE Güvenlik Açığı |
CVE-2023-46221 | Ivanti Avalanche WLAvalancheService Yığın Tabanlı Arabellek Taşması RCE Güvenlik Açığı |
CVE-2023-46222 | Ivanti Avalanche WLAvalancheService Yığın Tabanlı Arabellek Taşması RCE Güvenlik Açığı |
CVE-2023-46223 | Ivanti Avalanche WLAvalancheService Yığın Tabanlı Arabellek Taşması RCE Güvenlik Açığı |
CVE-2023-46224 | Ivanti Avalanche WLAvalancheService Yığın Tabanlı Arabellek Taşması RCE Güvenlik Açığı |
CVE-2023-46225 | Ivanti Avalanche WLAvalancheService Yığın Tabanlı Arabellek Taşması RCE Güvenlik Açığı |
CVE-2023-46257 | Ivanti Avalanche WLAvalancheService Yığın Tabanlı Arabellek Taşması RCE Güvenlik Açığı |
CVE-2023-46258 | Ivanti Avalanche WLAvalancheService Yığın Tabanlı Arabellek Taşması RCE Güvenlik Açığı |
CVE-2023-46259 | Ivanti Avalanche WLAvalancheService Yığın Tabanlı Arabellek Taşması RCE Güvenlik Açığı |
CVE-2023-46260 | Ivanti Avalanche WLAvalancheService Boş İşaretçi Referansının Kaldırılması Hizmet Reddi Güvenlik Açığı |
CVE-2023-46261 | Ivanti Avalanche WLInfoRailService Yığın Tabanlı Arabellek Taşması RCE Güvenlik Açığı |
Şirket ayrıca saldırganların hizmet reddi, uzaktan kod yürütme ve sunucu tarafı istek sahteciliği (SSRF) saldırılarında yararlanabileceği sekiz orta ve yüksek önemdeki hatayı da yamaladı.
Bugün açıklanan tüm güvenlik açıkları Avalanche v6.4.2.313’te giderildi. Avalanche kurulumunuzu yükseltmeye ilişkin ek bilgileri bu Ivanti destek makalesinde bulabilirsiniz.
Ağustos ayında Ivanti, CVE-2023-32560 olarak toplu olarak takip edilen ve başarılı bir kullanımın ardından çökmelere ve rastgele kod yürütülmesine yol açabilecek diğer iki kritik Avalanche arabellek taşmasını düzeltti.
Tehdit aktörleri, bir ay önce bir düzine Norveç bakanlığının BT sistemlerine sızmak için üçüncü bir MobileIron Core sıfır gününü (CVE-2023-35081) CVE-2023-35078 ile zincirledi.
Dört ay önce, Nisan ayında, devlete bağlı bilgisayar korsanları, Ivanti’nin eski adı MobileIron Core olan Endpoint Manager Mobile’daki (EPMM) iki sıfır gün açığını (CVE-2023-35078 ve CVE-2023-35081) birden fazla bilgisayarın ağına sızmak için kullandı. Norveç hükümet kuruluşları.
CISA o dönemde “Mobil cihaz yönetimi (MDM) sistemleri, binlerce mobil cihaza yüksek erişim sağladığından ve APT aktörleri daha önceki bir MobileIron güvenlik açığından yararlandığından tehdit aktörleri için çekici hedeflerdir” uyarısında bulunmuştu.
“Sonuç olarak, CISA ve NCSC-NO, hükümet ve özel sektör ağlarındaki yaygın sömürü potansiyelinden endişe duyuyor.”