Ivanti, Uç Nokta Yöneticisi (EPM) çözümünü etkileyen ve başarılı bir şekilde kullanılması halinde duyarlı sunucularda uzaktan kod yürütülmesine (RCE) yol açabilecek kritik bir kusuru gidermek için güvenlik güncellemeleri yayınladı.
CVE-2023-39336 olarak takip edilen güvenlik açığı, CVSS puanlama sisteminde 10 üzerinden 9,6 olarak derecelendirildi. Bu eksiklik, SU5’ten önceki EPM 2021 ve EPM 2022’yi etkilemektedir.
Ivanti bir danışma belgesinde, “Eğer kötüye kullanılırsa, iç ağa erişimi olan bir saldırgan, keyfi SQL sorguları yürütmek ve kimlik doğrulamaya gerek kalmadan çıktı almak için belirtilmemiş bir SQL enjeksiyonundan yararlanabilir.” dedi.
“Bu, saldırganın EPM aracısını çalıştıran makineler üzerinde kontrol sahibi olmasına izin verebilir. Çekirdek sunucu SQL express’i kullanacak şekilde yapılandırıldığında, bu durum çekirdek sunucuda RCE’ye yol açabilir.”
Açıklama, şirketin Avalanche kurumsal mobil cihaz yönetimi (MDM) çözümündeki yaklaşık iki düzine güvenlik açığını çözmesinden haftalar sonra geldi.
21 sorundan 13’ü kritik olarak derecelendirildi (CVSS puanları: 9,8) ve kimliği doğrulanmamış arabellek taşmaları olarak nitelendirildi. Avalanche 6.4.2’de yamalanmıştır.
Ivanti, “Mobil Cihaz Sunucusuna özel hazırlanmış veri paketleri gönderen bir saldırgan, bellek bozulmasına neden olabilir ve bu da hizmet reddi (DoS) veya kod yürütülmesine neden olabilir” dedi.
Bahsi geçen bu zayıflıkların vahşi ortamda istismar edildiğine dair hiçbir kanıt olmasa da, devlet destekli aktörler geçmişte Ivanti Endpoint Manager Mobile’daki sıfır gün kusurlarından (CVE-2023-35078 ve CVE-2023-35081) yararlanmıştı ( EPMM) birden fazla Norveç hükümeti kuruluşunun ağlarına sızmak için.
Bir ay sonra, Ivanti Sentry ürünündeki bir başka kritik güvenlik açığı (CVE-2023-38035, CVSS puanı: 9,8), sıfır gün olarak aktif olarak istismar edildi.