Şirketin kurumsal mobil cihaz yönetimi (MDM) çözümü olan Ivanti Avalanche’ın en yeni sürümü, 27 güvenlik açığına yönelik düzeltmeler içeriyor; bunlardan ikisi (CVE-2024-29204, CVE-2024-24996) kritiktir ve kimlik doğrulaması yapılmamış uzaktan bir saldırganın, Temel Windows sisteminde isteğe bağlı komutları yürütün.
Şirket Çarşamba günü yaptığı açıklamada, “Kamuya açıklanmadan önce herhangi bir müşterinin bu güvenlik açıklarından yararlandığının farkında değiliz” dedi.
CVE-2024-29204 ve CVE-2024-24996
Her iki kritik güvenlik açığı da yığın taşması hatalarıdır: CVE-2024-29204, v6.4.3’ten önce WLAvalancheService’te ve CVE-2024-24996, Ivanti Avalanche’ın WLInfoRailService bileşeninde yer almaktadır ve kimliği doğrulanmamış uzak saldırganların savunmasız sistemlerde rastgele komutlar yürütmesine izin verebilir.
Güvenlik açıkları, herhangi bir kullanıcı etkileşimi olmadan tetiklenebilir ve başarılı bir şekilde yararlanmak için hiçbir ön koşulun karşılanması gerekmez.
CVE-2024-29204’ü ve bunun için bir kavram kanıtını (PoC) açıktan yararlanan Ivanti’yi açıklayan Tenable Security, kusur ve Avalanche’a mesaj gönderilerek bundan nasıl yararlanılabileceği hakkında ek ayrıntılar yayınladı. WLAvalancheService.exe TCP bağlantı noktası 1777’de.
Ivanti Avalanche v6.4.3, çözümün aynı iki bileşenini ve bir web bileşenini etkileyen diğer 25 güvenlik açığına yönelik düzeltmeler içerir. Komut yürütmeye, bilgilerin açığa çıkmasına (sistem belleğinden) izin verebilir veya hizmet reddi durumunu tetikleyebilirler.
Ivanti, “Bu güvenlik açıkları Avalanche’ın tüm eski sürümlerini etkiliyor” dedi.
Ivanti’nin kurumsal çözümleri saldırı altında
Kurumsal mobil yönetimi, VPN ve ağ erişim kontrolü çözümlerindeki güvenlik açıklarının sağdan ve soldan saldırganlar tarafından istismar edilmesi nedeniyle Ivanti zor bir kaç ay geçirdi.
Saldırı, şirketin ürünlerinin güvenliğini, müşterilerine verdiği desteği ve toplulukla bilgi paylaşımını iyileştirme çabalarını artıracağını duyurmasına neden oldu.