Ivanti, uzaktan kod yürütülmesine yol açabilecek 10 kritik güvenlik açığı da dahil olmak üzere, Endpoint Manager’ı (EPM) etkileyen birden fazla güvenlik açığını gidermek için yazılım güncellemeleri yayınladı.
Sorunların kısa açıklaması şu şekildedir:
- CVE-2024-29847 (CVSS puanı: 10,0) – Uzaktan kimliği doğrulanmamış bir saldırganın kod yürütmesine olanak tanıyan, güvenilmeyen verilerin seri hale getirilmesine ilişkin bir güvenlik açığı.
- CVE-2024-32840, CVE-2024-32842, CVE-2024-32843, CVE-2024-32845, CVE-2024-32846, CVE-2024-32848, CVE-2024-34779, CVE-2024-34783 ve CVE-2024-34785 (CVSS puanları: 9,1) – Yönetici ayrıcalıklarına sahip uzaktan kimliği doğrulanmış bir saldırganın uzaktan kod yürütme gerçekleştirmesine olanak tanıyan birden fazla belirtilmemiş SQL enjeksiyon güvenlik açığı
Bu kusurlar EPM’nin 2024 ve 2022 SU5 ve önceki sürümlerini etkilerken, sırasıyla 2024 SU1 ve 2022 SU6 sürümlerinde düzeltmeler kullanıma sunuldu.
Ivanti, söz konusu açıkların sıfır-gün olarak kullanıldığına dair bir kanıt bulamadıklarını ancak kullanıcıların potansiyel tehditlere karşı korunmak için en son sürüme güncellemeleri gerektiğini söyledi.
Eylül güncellemesinin bir parçası olarak Ivanti Workspace Control (IWC) ve Ivanti Cloud Service Appliance’da (CSA) yedi adet yüksek öneme sahip eksiklik de giderildi.
Şirket, dahili tarama, manuel istismar ve test yeteneklerini artırdığını ve potansiyel sorunları hızla keşfedip çözmek için sorumlu açıklama sürecinde iyileştirmeler yaptığını söyledi.
Şirket, “Bu durum keşif ve ifşaatlarda artışa neden oldu” dedi.
Bu gelişme, Çin bağlantılı siber casusluk grupları da dahil olmak üzere Ivanti cihazlarındaki çeşitli sıfır gün açıklarının kapsamlı bir şekilde vahşi ortamda kullanılmasının ardından ortaya çıktı.
Bu gelişme, Zyxel’in iki ağa bağlı depolama (NAS) cihazında kritik bir işletim sistemi (OS) komut enjeksiyonu güvenlik açığı (CVE-2024-6342, CVSS puanı: 9,8) için düzeltmeler göndermesiyle aynı zamana denk geliyor.
Şirket, yaptığı uyarıda, “Zyxel NAS326 ve NAS542 cihazlarının export-cgi programındaki bir komut enjeksiyonu güvenlik açığı, kimliği doğrulanmamış bir saldırganın, hazırlanmış bir HTTP POST isteği göndererek bazı işletim sistemi (OS) komutlarını yürütmesine olanak tanıyabilir” ifadelerini kullandı.
Güvenlik açığı aşağıdaki sürümlerde giderilmiştir –
- NAS326 (V5.21(AAZF.18)C0 ve önceki sürümleri etkiler) – V5.21(AAZF.18)Hotfix-01’de düzeltildi
- NAS542 (V5.21(ABAG.15)C0 ve önceki sürümleri etkiler) – V5.21(ABAG.15)Hotfix-01’de düzeltildi