Ivanti đã phát hành các bản cập nhật bảo mật để khắc phục một lỗ hổng quan trọng ảnh hưởng đến giải pháp Quản lý Điểm cuối (EPM) của họ, nếu tận dụng thành công, có thể dẫn đến thực thi mã từ xa (RCE) trên các máy chủ dễ bị tấn công.
Lỗ hổng CVE-2023-39336 đã được đánh giá là 9.6 trên hệ thống điểm số CVSS. Sự thiếu sót này ảnh hưởng đến EPM 2021 và EPM 2022 trước SU5.
Ivanti xác nhận rằng “Kẻ tấn công có quyền truy cập vào mạng nội bộ có thể tận dụng một lỗ hổng SQL không xác định để thực thi các truy vấn SQL tùy ý và truy xuất kết quả mà không cần xác thực”.
Điều này sau đó có thể cho phép kẻ tấn công kiểm soát các máy chạy trình quản lý EPM. Khi “core server” được cấu hình để sử dụng SQL express, điều này có thể dẫn đến RCE trên “core server”.
Thông tin về lỗ hổng này đến sau vài tuần kể từ khi công ty giải quyết gần hai chục lỗ hổng bảo mật trong giải pháp quản lý thiết bị di động doanh nghiệp Avalanche (MDM).
Trong số 21 vấn đề, 13 được đánh giá là nghiêm trọng (điểm CVSS: 9.8) và được xác định là tràn bộ đệm chưa xác thực. Chúng đã được vá trong Avalanche 6.4.2.
Ivanti thông báo: “Kẻ tấn công gửi các gói dữ liệu được tạo đặc biệt đến Máy chủ Thiết bị Di động có thể gây ra lỗi bộ nhớ dẫn đến từ chối dịch vụ (DoS) hoặc thực thi mã.”
Mặc dù không có bằng chứng cho thấy các điểm yếu đã được khai thác trong tự nhiên, các nhà hỗ trợ quốc gia đã từng khai thác các lỗ hổng zero-day (CVE-2023-35078 và CVE-2023-35081) trong Ivanti Endpoint Manager Mobile (EPMM) để xâm nhập vào các mạng của nhiều tổ chức chính phủ Na Uy.
Vào tháng 8 năm 2023, một lỗ hổng nguy hiểm khác trong sản phẩm Ivanti Sentry (CVE-2023-38035, điểm CVSS: 9.8) đã bị khai thác như một zero-day.
