Ivanti adverte que bug crítico no EPM permite que hackers sequestrem dispositivos cadastrados
5 de Janeiro de 2024

A Ivanti corrigiu uma crítica vulnerabilidade de execução de código remoto (RCE) em seu software de Gerenciamento de Endpoint (EPM) que pode permitir que invasores não autenticados tomem controle de dispositivos inscritos ou do servidor central.

O EPM da Ivanti ajuda a gerenciar dispositivos de clientes que executam uma ampla variedade de plataformas, desde Windows e macOS até Chrome OS e sistemas operacionais IoT.

A falha de segurança (rastreada como CVE-2023-39336) afeta todas as versões suportadas do EPM Ivanti, e foi resolvida na versão 2022 Service Update 5.

Invasores com acesso à rede interna de um alvo podem explorar a vulnerabilidade em ataques de baixa complexidade que não exigem privilégios ou interação do usuário.

"Se explorada, um invasor com acesso à rede interna pode usar uma injeção SQL não especificada para executar consultas SQL arbitrárias e recuperar a saída sem a necessidade de autenticação", diz a Ivanti.

"Isso pode permitir ao atacante controle sobre as máquinas que executam o agente EPM.

Quando o servidor central é configurado para usar o SQL express, isso pode levar a um RCE no servidor central."

A empresa diz que não tem evidências de que seus clientes tenham sido afetados por invasores explorando essa vulnerabilidade.

Atualmente, a Ivanti bloqueia o acesso público a um aviso contendo todos os detalhes do CVE-2023-39336, provavelmente para fornecer aos clientes mais tempo para proteger seus dispositivos antes que os atores de ameaças possam criar exploits usando as informações adicionais.

Em julho, hackers afiliados ao estado usaram duas falhas de zero-days ( CVE-2023-35078 e CVE-2023-35081 ) no Endpoint Manager Mobile (EPMM) da Ivanti, anteriormente MobileIron Core, para infiltrar-se nas redes de várias organizações governamentais norueguesas.

"Os sistemas de gerenciamento de dispositivos móveis (MDM) são alvos atraentes para os atores de ameaças porque fornecem acesso elevado a milhares de dispositivos móveis, e atores APT exploraram uma vulnerabilidade anterior do MobileIron", alertou o CISA.

"Consequentemente, o CISA e o NCSC-NO estão preocupados com o potencial de exploração generalizada em redes governamentais e do setor privado."

Um terceiro zero-day ( CVE-2023-38035 ) no software Sentry da Ivanti (anteriormente MobileIron Sentry) foi explorado em ataques um mês depois.

A empresa também corrigiu mais de uma dúzia de vulnerabilidades de segurança críticas em sua solução de gerenciamento de dispositivos móveis corporativos (MDM) Avalanche em dezembro e agosto.

Os produtos da Ivanti são usados por mais de 40.000 empresas globalmente para gerenciar seus ativos e sistemas de TI.

Atualização: Corrigido um erro de digitação no número do ID CVE.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...