Ivanti, Uç Nokta Yönetimi yazılımında (EPM), kimliği doğrulanmamış saldırganların kayıtlı cihazları veya çekirdek sunucuyu ele geçirmesine olanak tanıyan kritik bir uzaktan kod yürütme (RCE) güvenlik açığını düzeltti.
Ivanti EPM, Windows ve macOS’tan Chrome OS ve IoT işletim sistemlerine kadar çok çeşitli platformları çalıştıran istemci cihazlarının yönetilmesine yardımcı olur.
Güvenlik açığı (CVE-2023-39366 olarak takip edilir) desteklenen tüm Ivanti EPM sürümlerini etkilemektedir ve 2022 Hizmet Güncellemesi 5 sürümünde çözülmüştür.
Hedefin dahili ağına erişimi olan saldırganlar, ayrıcalık veya kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda bu güvenlik açığından yararlanabilir.
Ivanti, “Eğer kötüye kullanılırsa, dahili ağa erişimi olan bir saldırgan, rastgele SQL sorguları yürütmek ve kimlik doğrulamaya ihtiyaç duymadan çıktıyı almak için belirtilmemiş bir SQL enjeksiyonundan yararlanabilir” diyor.
“Bu, saldırganın EPM aracısını çalıştıran makineler üzerinde kontrol sahibi olmasına izin verebilir. Çekirdek sunucu SQL express’i kullanacak şekilde yapılandırıldığında, bu durum çekirdek sunucuda RCE’ye yol açabilir.”
Şirket, müşterilerinin bu güvenlik açığından yararlanan saldırganlardan etkilendiğine dair hiçbir kanıt bulunmadığını söylüyor.
Şu anda Ivanti, CVE-2023-39366’nın tüm ayrıntılarını içeren bir danışma belgesine kamu erişimini engelliyor; bu, muhtemelen müşterilere, tehdit aktörlerinin ek bilgileri kullanarak güvenlik açıkları oluşturmadan önce cihazlarını güvence altına almaları için daha fazla zaman sağlayacak.
Sıfır günlerin vahşi doğada sömürülmesi
Temmuz ayında, devlete bağlı bilgisayar korsanları, birden fazla Norveç devlet kuruluşunun ağlarına sızmak için Ivanti’nin eski adı MobileIron Core olan Endpoint Manager Mobile’da (EPMM) iki sıfır gün açığını (CVE-2023-35078 ve CVE-2023-35081) kullandı.
CISA, “Mobil cihaz yönetimi (MDM) sistemleri, binlerce mobil cihaza yüksek erişim sağladığından ve APT aktörleri daha önceki bir MobileIron güvenlik açığından yararlandığından tehdit aktörleri için çekici hedeflerdir” uyarısında bulundu.
“Sonuç olarak, CISA ve NCSC-NO, hükümet ve özel sektör ağlarındaki yaygın istismar potansiyelinden endişe duyuyor.”
Ivanti’nin Sentry yazılımındaki (eski adıyla MobileIron Sentry) üçüncü bir sıfır günden (CVE-2023-38035) bir ay sonraki saldırılarda yararlanıldı.
Şirket ayrıca Aralık ve Ağustos aylarında Avalanche kurumsal mobil cihaz yönetimi (MDM) çözümündeki bir düzineden fazla kritik güvenlik açığını da kapattı.
Ivanti’nin ürünleri dünya çapında 40.000’den fazla şirket tarafından BT varlıklarını ve sistemlerini yönetmek için kullanılıyor.