Ivanti, Endpoint Manager çözümünü etkileyen bir dizi güvenlik açığını düzeltti. Bunlar arasında, kimliği doğrulanmamış saldırganların güvenlik açığı bulunan sistemin bağlamında uzaktan kod yürütmesine ve bunu kurumsal ağlara ve cihazlara sızmak için bir köprübaşı olarak kullanmasına olanak tanıyabilecek en yüksek önem derecesine sahip olan (CVE-2024-29847) güvenlik açığı da yer alıyor.
Düzeltmeler
CVE-2024-29847, Ivanti Endpoint Manager 2024 (Eylül güncellemesiyle) ve 2022 SU5 ve önceki sürümlerinin aracı portalını etkiler ve uygulamanın güvenilmeyen verileri uygunsuz şekilde seri hale getirmesinden kaynaklanır.
Bu zayıflık, saldırganlar tarafından sisteme önceden kimlik doğrulaması yapmadan, keyfi kod çalıştırmak için kullanılabilir.
Ivanti Endpoint Manager v2022 SU6’yı ve EPM v2024 için bir “güvenlik düzeltme eki” yayınlayarak şirket yalnızca CVE-2024-29847’yi değil, aynı zamanda aşağıdakiler de dahil olmak üzere 15 ek güvenlik açığını da düzeltti:
- Uzaktan kod yürütmek için istismar edilebilecek dokuz kritik SQL enjeksiyon açığı (ancak saldırganın yönetici ayrıcalıklarıyla kimlik doğrulaması yapması gerekir) ve
- Uzaktaki kimliği doğrulanmamış bir saldırganın API sırlarını sızdırmasına olanak tanıyan harici bir XML Varlığı (XXE) güvenlik açığı.
Şirket, “Bu güvenlik açıklarının kamuya açıklanmasından önce herhangi bir müşterinin bu güvenlik açıkları tarafından istismar edildiğinin farkında değiliz. Bu güvenlik açıkları, sorumlu açıklama programımız aracılığıyla ifşa edildi” diye teyit etti.
Kullanılabilir geçici çözümler veya hafifletmeler olmadığından, yöneticilerin kurulumlarını hızla yükseltmeleri zorunludur. EPM 2024’te güvenlik açıkları bir yama ile kapatıldı, ancak bunlar Endpoint Manager’ın yaklaşan 2024 SU1 sürümünde çözülecek.
Şirket aynı zamanda şunları da duyurdu:
- Ivanti Cloud Service Appliance (CSA) 4.6 için RCE’ye yol açan kimliği doğrulanmış bir işletim sistemi komut enjeksiyonu güvenlik açığını (CVE-2024-8190) yamalamak üzere bir güvenlik güncelleştirmesi
- Ayrıcalık yükseltme ve yanal hareket için istismar edilebilecek altı güvenlik açığını gideren yeni bir mimariye sahip olan Ivanti Workspace Control v10.18.99.0
Bu hataların hiçbiri aktif olarak istismar edilmemektedir.
Ivanti’nin ürün güvenliğini iyileştirmeye yönelik çabaları arttı
CVE-2024-8190 için yamanın kullanıma sunulması (Ivanti CSA 4.6’nın Ağustos 2024’te güvenlik düzeltmeleri almayı bırakması gerekirken) ve şirketin bildirilen güvenlik açıklarını düzeltmek için bir çözüm yeniden tasarlaması, Ivanti’nin güvenliği daha ciddiye aldığının bir kanıtıdır.
Ivanti, son bir yılda çözümlerindeki sıfır günlük güvenlik açıklarının saldırganlar tarafından Norveç bakanlıklarına, MITRE’ye ve diğer isimsiz hedeflere sızmak, siber casusluk yapmak (web kabukları ve kalıcı arka kapılar sunmak) ve kripto madencileri sunmak için istikrarlı bir şekilde kullanılması nedeniyle kötü bir ilgi gördü.
Şirket hasar kontrol moduna geçmek ve güvenlik önlemlerini artırma sözü vermek zorunda kaldı.
Şirket, bu son güncellemeleri yayınlarken “Son aylarda, dahili tarama, manuel istismar ve test yeteneklerimizi yoğunlaştırdık ve ayrıca olası sorunları derhal keşfedip çözebilmemiz için sorumlu açıklama sürecimizde iyileştirmeler yaptık” ifadelerine yer verdi.
“Bu durum keşif ve ifşada artışa neden oldu ve CISA’nın CVE’lerin sorumlu bir şekilde keşfedilmesi ve ifşa edilmesinin ‘sağlıklı kod analizi ve test topluluğunun bir işareti’ olduğu yönündeki ifadesine katılıyoruz.”