30.000 kuruluş tarafından kullanılan bir kurumsal mobil cihaz yönetimi çözümü olan Ivanti Avalanche’da çok sayıda kritik güvenlik açığı bildirildi.
Toplu olarak CVE-2023-32560 (CVSS puanı: 9.8) olarak izlenen güvenlik açıkları, Ivanti Avalanche WLAvanacheServer.exe v6.4.0.0’daki yığın tabanlı arabellek taşmalarıdır.
Siber güvenlik şirketi Tenable, eksikliklerin belirli veri türlerinin işlenmesinin bir sonucu olarak ortaya çıkan arabellek taşmalarının sonucu olduğunu söyledi.
Kimliği doğrulanmamış bir uzak saldırgan, arabelleği taşmak için uzun bir onaltılık dize veya uzun tip 9 öğe belirtebilir.
Her iki sorunun da başarılı bir şekilde kullanılması, uzaktaki bir düşman tarafından kod yürütme veya sistem çökmesi sağlamak için kullanılabilir.
Yığın tabanlı arabellek taşması güvenlik açıkları, üzerine yazılmakta olan arabellek yığında olduğunda ortaya çıkar ve program yürütmenin, yükseltilmiş ayrıcalıklarla rasgele kod çalıştırmak için değiştirilebileceği bir senaryoya yol açar.
Ivanti, Nisan 2023’te ifşa edildikten sonra sorunu çözmek için Avalanche 6.4.1 sürümünü yayınladı.
Güncelleme ayrıca, kimlik doğrulama atlaması ve uzaktan kod yürütmenin önünü açabilecek diğer altı açığı (CVE-2023-32561’den CVE-2023-32566’ya kadar) giderir.
Son haftalarda Ivanti yazılımındaki güvenlik kusurlarının aktif olarak keşfedilmesiyle, kullanıcıların potansiyel tehditleri azaltmak için düzeltmeleri uygulamak için hızlı hareket etmesi zorunludur.