Ivanti, kimliği doğrulanmamış saldırganların çekirdek sunucuda uzaktan kod yürütmesine olanak tanıyan Uç Nokta Yönetimi yazılımındaki (EPM) maksimum öneme sahip bir güvenlik açığını düzeltti.
Ivanti EPM, yöneticilerin Windows, macOS, Chrome OS ve IoT işletim sistemleri de dahil olmak üzere çeşitli platformlarda çalışan istemci cihazlarını yönetmelerine yardımcı olur.
Güvenlik açığı (CVE-2024-29847), Ivanti EPM 2024 sıcak yamaları ve Ivanti EPM 2022 Hizmet Güncelleştirmesi 6’da (SU6) ele alınan aracı portalındaki güvenilmeyen veri zayıflığının seri hale getirilmesinden kaynaklanmaktadır.
Şirket bugün yayınladığı duyuruda, “Başarılı bir istismar, EPM çekirdek sunucusuna yetkisiz erişime yol açabilir” dedi.
Ivanti, şimdilik, “ifşa sırasında bu güvenlik açıklarından yararlanan herhangi bir müşteriden haberdar olmadıklarını” ekledi. “Şu anda, bu güvenlik açığının, bir tehlike göstergesi listesi sağlamak için kullanılabilecek bilinen bir kamusal kullanımı bulunmamaktadır.”
Bugün ayrıca, daha önce herhangi bir ortamda kullanılmamış olan Ivanti EPM, Workspace Control (IWC) ve Cloud Service Appliance’daki (CSA) yaklaşık iki düzine yüksek ve kritik öneme sahip açığı da düzeltti.
Şirket, Ocak ayında Ivanti EPM’de çekirdek sunucuya erişmek veya kayıtlı cihazları ele geçirmek için kullanılabilecek benzer bir RCE güvenlik açığını (CVE-2023-39336) düzeltti.
Güvenlik iyileştirmeleri nedeniyle düzeltilen kusurlarda artış
Ivanti, son aylarda dahili tarama, manuel istismar ve test yeteneklerini artırdığını ve ayrıca olası sorunları daha hızlı ele almak için sorumlu açıklama sürecini iyileştirmek için çalıştığını söyledi.
Ivanti, “Bu durum keşif ve ifşada artışa neden oldu ve CISA’nın, CVE’lerin sorumlu bir şekilde keşfedilmesi ve ifşa edilmesinin ‘sağlıklı kod analizi ve test topluluğunun bir işareti’ olduğu yönündeki açıklamasına katılıyoruz” dedi.
Bu açıklama, son yıllarda birden fazla Ivanti sıfır gününün vahşi doğada kapsamlı bir şekilde istismar edilmesini takip ediyor. Örneğin, Ivanti VPN cihazları, Aralık 2023’ten beri CVE-2024-21887 komut enjeksiyonunu ve CVE-2023-46805 kimlik doğrulama atlama kusurlarını sıfır gün olarak zincirleyen istismarlar kullanılarak hedef alındı.
Şirket ayrıca Şubat ayında kitlesel istismar altında olan üçüncü bir sıfır günlük (şu anda CVE-2024-21893 olarak izlenen bir sunucu tarafı istek sahteciliği hatası) konusunda uyardı ve bu, saldırganların savunmasız ICS, IPS ve ZTA ağ geçitlerinde kimlik doğrulamasını atlatmalarına olanak sağladı.
Ivanti, dünya çapında 7.000’den fazla ortağı olduğunu ve 40.000’den fazla şirketin BT varlıklarını ve sistemlerini yönetmek için ürünlerini kullandığını söylüyor.