Ivanti Avalanche afetado por superlotação crítica de buffer de pilha pré-autenticação

16 de Agosto de 2023

Dois buffer overflows baseados em pilha, coletivamente rastreados como CVE-2023-32560 , afetam o Ivanti Avalanche, uma solução de gerenciamento de mobilidade empresarial (EMM) projetada para gerenciar, monitorar e proteger uma ampla gama de dispositivos móveis.

As falhas são consideradas críticas (CVSS v3: 9.8) e podem ser exploradas remotamente sem autenticação do usuário, possivelmente permitindo que invasores executem um código arbitrário no sistema de destino.

A vulnerabilidade afeta a versão 6.4.0.0 e anteriores do WLAvalancheService.exe, que recebe comunicações pela porta TCP 1777.

Um invasor enviando pacotes de dados especialmente criados contendo strings hexadecimais (tipo 3) ou uma lista de strings decimais separadas por ";" (tipo 9) pode causar um estouro de buffer devido a um buffer baseado em pilha de tamanho fixo usado para armazenar os dados convertidos.

O buffer overflow é um tipo de problema de segurança no qual um programa escreve mais dados em um bloco de memória adjacente (buffer) do que ele pode conter, sobrescrevendo esses locais e causando falhas de programa ou execução de código arbitrário.

Os estouros de buffer baseados em pilha dizem respeito à sobrescrita de regiões alocadas na pilha, uma região de memória que armazena as variáveis locais do programa e endereços de retorno, tornando possível direcionar o programa para executar um código malicioso.

Os problemas foram descobertos pelos pesquisadores da Tenable e relatados à Ivanti em 4 de abril de 2023, enquanto um conceito de prova foi compartilhado com o fornecedor em 13 de abril de 2023.

Depois de estender a janela de divulgação para dar mais tempo ao fornecedor para resolver os problemas, uma atualização de segurança foi lançada em 3 de agosto de 2023, com a versão 6.4.1 do Avalanche.

Junto com o CVE-2023-32560 , a versão 6.4.1 do Avalanche também corrige os CVE-2023-32561 , CVE-2023-32562 , CVE-2023-32563 , CVE-2023-32564 , CVE-2023-32565 e CVE-2023-32566 , relacionados a várias falhas de autenticação remota e execução de código.

O software Ivanti é usado em sistemas e configurações críticos, portanto, os invasores estão constantemente procurando vulnerabilidades de gravidade crítica que constituem possíveis portas de entrada para ataques.

No mês passado, foi revelado que hackers exploraram uma vulnerabilidade de autenticação zero-day ( CVE-2023-35078 ) no Ivanti Endpoint Manager Mobile (EPMM) para invadir uma plataforma utilizada por doze ministérios do governo norueguês, acessando informações potencialmente sensíveis e classificadas.

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...