Την Τρίτη, η Ivanti αποκάλυψε ότι επιδιορθώνει πολλά κρίσιμα ελαττώματα ασφαλείας στο Endpoint Manager (EPM).
Αυτά τα ελαττώματα θα μπορούσαν, υπό ορισμένες συνθήκες, να αξιοποιηθούν για απομακρυσμένη εκτέλεση κώδικα.
Έξι από τα δέκα ευάλωτα σημεία – από το CVE-2024-29822 έως το CVE-2024-29827 (με CVSS βαθμολογίες 9,6) – αφορούν injection ελαττώματα SQL, τα οποία επιτρέπουν σε έναν μη αυθεντικοποιημένο εισβολέα στο ίδιο δίκτυο να εκτελεί αυθαίρετο κώδικα.
Δείτε ακόμη: Ivanti: Oι συσκευές VPN της είναι ευάλωτες σε επιθέσεις
Τα υπόλοιπα τέσσερα σφάλματα — CVE-2024-29828, CVE-2024-29829, CVE-2024-29830 και CVE-2024-29846 (βαθμολογίες CVSS: 8,4) — ανήκουν επίσης στην ίδια κατηγορία, με τη διαφορά ότι απαιτούν έλεγχο ταυτότητας του χρήστη που προσπαθεί να εισέλθει.
Οι ελλείψεις επηρεάζουν τον κεντρικό διακομιστή των εκδόσεων Ivanti EPM 2022 SU5 και προηγούμενων εκδόσεων.
Η εταιρεία αντιμετώπισε επιπλέον ένα σοβαρό ζήτημα ασφαλείας στην έκδοση Avalanche 6.4.3.602 (CVE-2024-29848, βαθμολογία CVSS: 7.2), το οποίο θα μπορούσε να επιτρέψει σε έναν εισβολέα να εκτελέσει απομακρυσμένα κώδικα ανεβάζοντας ένα ειδικά διαμορφωμένο αρχείο.
Έχουν σταλεί επίσης ενημερώσεις κώδικα για πέντε άλλες ευπάθειες υψηλής σοβαρότητας: μια SQL injection (CVE-2024-22059) και ένα σφάλμα χωρίς περιορισμούς στη μεταφόρτωση αρχείων (CVE-2024-22060) στο Neurons για ITSM, ένα injection ελάττωμα CRLF στο Connect Secure (CVE-2023-38551), καθώς και δύο ζητήματα κλιμάκωσης τοπικών προνομίων στον πελάτη ασφαλούς πρόσβασης για Windows (CVE-2023-38042) και Linux (CVE-2023-46810).
Η Ivanti διευκρίνισε ότι δεν υπάρχουν αποδείξεις για την εκμετάλλευση αυτών των ελαττωμάτων ή ότι «εισήχθησαν κακόβουλα στη διαδικασία ανάπτυξης του κώδικα» μέσω επίθεσης στην αλυσίδα εφοδιασμού.
Αποκαλύφθηκαν εκτός των άλλων, λεπτομέρειες για ένα κρίσιμο ελάττωμα στην έκδοση ανοιχτού κώδικα του Genie federated Big Data orchestration και εκτέλεσης Big Data, που αναπτύχθηκε από το Netflix (CVE-2024-4701, με βαθμολογία CVSS: 9,9), το οποίο θα μπορούσε να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα.
Το κενό ασφαλείας, γνωστό ως path traversal ευπάθεια, μπορεί να αξιοποιηθεί για την εγγραφή αυθαίρετων αρχείων στο σύστημα και την εκτέλεση κακόβουλου κώδικα. Επηρεάζει όλες τις εκδόσεις του λογισμικού πριν από την έκδοση 4.3.18.
Διαβάστε επίσης: Ivanti: Κρίσιμο bug παράκαμψης ταυτοποίησης εκμεταλλεύεται ενεργά
Το πρόβλημα προκύπτει από το γεγονός ότι το REST API του Genie έχει σχεδιαστεί να δέχεται ένα όνομα αρχείου που παρέχεται από τον χρήστη ως μέρος του αιτήματος. Αυτό επιτρέπει σε έναν κακόβουλο παράγοντα να δημιουργήσει ένα όνομα αρχείου, ώστε να ξεφύγει από την προεπιλεγμένη διαδρομή αποθήκευσης συνημμένων και να γράψει ένα αρχείο με οποιοδήποτε όνομα σε μια διαδρομή που καθορίζεται από τον ίδιο τον ηθοποιό.
«Οι χρήστες του Genie OSS που διαχειρίζονται τη δική τους παρουσία και χρησιμοποιούν το σύστημα αρχείων για την αποθήκευση συνημμένων αρχείων υποβαλλόμενων στην εφαρμογή Genie ενδέχεται να επηρεαστούν», ανέφεραν οι συντηρητές σε ανακοίνωση.
Με τη χρήση αυτής της τεχνικής, είναι εφικτό ο χρήστης να δημιουργήσει ένα αρχείο με οποιοδήποτε όνομα και περιεχόμενο, σε οποιαδήποτε τοποθεσία του συστήματος αρχείων στην οποία η διαδικασία Java έχει δικαίωμα εγγραφής. Αυτό μπορεί να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα (RCE).
Με αυτά τα δεδομένα, οι χρήστες που δεν αποθηκεύουν τα συνημμένα αρχεία τοπικά στο σύστημα αρχείων δεν επηρεάζονται από αυτό το ζήτημα.
Δείτε περισσότερα: Ivanti: Προειδοποιεί για κρίσιμη ευπάθεια στο EPM software
«Εάν μια τέτοια επίθεση είναι επιτυχής, θα μπορούσε να εξαπατήσει μια εφαρμογή Ιστού ώστε να διαβάσει και να εκθέσει τα περιεχόμενα των αρχείων εκτός του καταλόγου της εφαρμογής ή του διακομιστή ιστού. Αυτό περιλαμβάνει διαπιστευτήρια για συστήματα υποστήριξης, κώδικα και δεδομένα εφαρμογής, καθώς και ευαίσθητα αρχεία του λειτουργικού συστήματος», δήλωσε ο ερευνητής της Contrast Security, Joseph Beeton.
Πηγή: thehackernews
.){kind=link}