Siber Muhbir

CVE-2023-39336 olarak izlenen güvenlik açığı, CVSS puanlama sisteminde 10 üzerinden 9,6 olarak derecelendirildi. Eksiklik, SU5'ten önceki EPM 2021 ve EPM 2022'yi etkiliyor.

Ivanti bir danışma belgesinde, "İstismar edilirse, dahili ağa erişimi olan bir saldırgan, rastgele SQL sorguları yürütmek ve kimlik doğrulamaya gerek kalmadan çıktıyı almak için belirtilmemiş bir SQL enjeksiyonundan yararlanabilir" dedi.

"Bu, saldırganın EPM aracısını çalıştıran makineler üzerinde kontrol sahibi olmasına izin verebilir. Çekirdek sunucu SQL express kullanacak şekilde yapılandırıldığında, bu çekirdek sunucuda RCE'ye yol açabilir."

Açıklama, şirketin Avalanche kurumsal mobil cihaz yönetimi (MDM) çözümündeki yaklaşık iki düzine güvenlik açığını çözmesinden haftalar sonra geldi.

21 sorundan 13'ü kritik olarak derecelendirilmiştir (CVSS puanları: 9.8) ve kimliği doğrulanmamış arabellek taşmaları olarak nitelendirilmiştir. Avalanche 6.4.2'de yamalandılar.

Ivanti, "Mobil Cihaz Sunucusuna özel hazırlanmış veri paketleri gönderen bir saldırgan, hizmet reddi (DoS) veya kod yürütülmesine neden olabilecek bellek bozulmasına neden olabilir" dedi.

Yukarıda bahsedilen bu zayıflıkların vahşi doğada istismar edildiğine dair bir kanıt bulunmamakla birlikte, devlet destekli aktörler geçmişte birden fazla Norveç devlet kurumunun ağlarına sızmak için Ivanti Endpoint Manager Mobile'daki (EPMM) sıfır gün kusurlarından (CVE-2023-35078 ve CVE-2023-35081) yararlandı.

Ağustos 2023'te Ivanti Sentry ürünündeki bir başka kritik güvenlik açığı (CVE-2023-38035, CVSS puanı: 9.8) sıfır gün olarak aktif olarak istismar edildi.