Ivanti Salı günü, Endpoint Manager’daki (EPM) belirli koşullar altında uzaktan kod yürütmek için kullanılabilecek çok sayıda kritik güvenlik açığını gidermek için düzeltmeler yayınladı.
CVE-2024-29822’den CVE-2024-29827’ye kadar (CVSS puanları: 9,6) 10 güvenlik açığından altısı, kimliği doğrulanmamış bir saldırganın aynı ağ içinde rastgele kod yürütmesine olanak tanıyan SQL enjeksiyon kusurlarıyla ilgilidir.
Geriye kalan dört hata (CVE-2024-29828, CVE-2024-29829, CVE-2024-29830 ve CVE-2024-29846 (CVSS puanları: 8,4)) da aynı kategoriye giriyor; tek değişiklik şu: saldırganın kimliğinin doğrulanmasını gerektirirler.
Eksiklikler, Ivanti EPM 2022 SU5 ve önceki sürümlerinin Core sunucusunu etkiliyor.
Şirket ayrıca Avalanche’ın 6.4.3.602 sürümündeki (CVE-2024-29848, CVSS puanı: 7.2) bir saldırganın özel hazırlanmış bir dosyayı yükleyerek uzaktan kod yürütmesine olanak tanıyan yüksek önemdeki bir güvenlik kusurunu da giderdi.
Buna ek olarak, yüksek önemdeki beş güvenlik açığı için de yamalar gönderildi: Connect Secure’daki bir CRLF enjeksiyon hatası olan ITSM için Neurons’ta bir SQL enjeksiyonu (CVE-2024-22059) ve sınırsız dosya yükleme hatası (CVE-2024-22060). (CVE-2023-38551) ve Windows (CVE-2023-38042) ve Linux (CVE-2023-46810) için Güvenli Erişim istemcisinde iki yerel ayrıcalık yükseltme sorunu.
Ivanti, kusurların doğada istismar edildiğine veya bunların bir tedarik zinciri saldırısı yoluyla “kod geliştirme sürecimize kötü niyetli olarak dahil edildiğine” dair hiçbir kanıt bulunmadığını vurguladı.
Bu gelişme, Netflix tarafından geliştirilen Genie federe Büyük Veri orkestrasyonu ve yürütme motorunun açık kaynak sürümündeki (CVE-2024-4701, CVSS puanı: 9,9) uzaktan kod yürütülmesine yol açabilecek kritik bir kusur hakkında ayrıntıların ortaya çıkmasıyla birlikte geldi.
Yol geçişi güvenlik açığı olarak tanımlanan bu eksiklik, dosya sistemine rastgele bir dosya yazmak ve rastgele kod çalıştırmak için kullanılabilir. Yazılımın 4.3.18’den önceki tüm sürümlerini etkiler.
Sorun, Genie’nin REST API’sinin, isteğin bir parçası olarak kullanıcı tarafından sağlanan bir dosya adını kabul edecek şekilde tasarlanmış olması ve böylece kötü niyetli bir aktörün, varsayılan ek depolama yolundan çıkıp bir dosya yazabilecek şekilde bir dosya adı oluşturmasına olanak sağlamasından kaynaklanmaktadır. Kullanıcı tarafından belirtilen herhangi bir adla, aktör tarafından belirtilen bir yola.
Bakımcılar bir danışma belgesinde “Kendi örneğini çalıştıran ve Genie uygulamasına gönderilen dosya eklerini depolamak için dosya sistemine güvenen herhangi bir Genie OSS kullanıcısı etkilenebilir” dedi.
“Bu tekniği kullanarak, Java işleminin yazma erişimine sahip olduğu dosya sistemindeki herhangi bir konuma, kullanıcı tarafından belirlenen herhangi bir dosya adı ve dosya içeriğine sahip bir dosya yazmak mümkündür; bu da potansiyel olarak uzaktan kod yürütülmesine (RCE) yol açar.”
Bununla birlikte, ekleri yerel olarak temel dosya sisteminde saklamayan kullanıcılar bu sorundan etkilenmez.
“Başarılı olması durumunda, böyle bir saldırı, bir web uygulamasını kandırarak, arka uç sistemlerin kimlik bilgileri, uygulama kodu ve verileri ve hassas dosyalar da dahil olmak üzere, uygulamanın veya web sunucusunun belge kök dizini dışındaki dosyaların içeriğini okumaya ve dolayısıyla açığa çıkarmaya yönlendirebilir. işletim sistemi dosyaları,” Contrast Güvenlik araştırmacısı Joseph Beeton dedi.
Bu ayın başlarında ABD hükümeti, tehdit aktörlerinin hedefleri ihlal etmek için yazılımdaki dizin geçiş kusurlarından yararlanmaya yönelik devam eden girişimleri konusunda uyardı ve geliştiricilere bu tür güvenlik açıklarını ortadan kaldırmak için tasarım gereği güvenli bir yaklaşım benimsemeye çağrıda bulundu.
Hükümet, “Bu risk azaltımının başlangıçta (tasarım aşamasında başlayıp ürün sürümü ve güncellemeler boyunca devam ederek) dahil edilmesi, hem müşteriler üzerindeki siber güvenlik yükünü hem de kamuya yönelik riski azaltır” dedi.
Açıklama aynı zamanda Honeywell’in Control Edge Unit Operations Controller’ında (UOC) kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine neden olabilecek çeşitli güvenlik açıklarının (CVE-2023-5389 ve CVE-2023-5390) ardından geldi.
Claroty, “Halihazırda bir OT ağında bulunan bir saldırgan, bu güvenlik açığından yararlanmak ve sanal denetleyiciyi tehlikeye atmak için kötü amaçlı bir ağ paketi kullanacaktır” dedi. “Bu saldırı, dosyaları değiştirmek için uzaktan gerçekleştirilebilir, bu da denetleyicinin tam kontrolüne ve kötü amaçlı kodların yürütülmesine neden olabilir.”