A Ivanti corrigiu uma vulnerabilidade de severidade máxima no seu software de Gerenciamento de Pontos de Extremidade (EPM) que pode permitir que atacantes não autenticados realizem execução de código remoto (remote code execution, RCE) no servidor central.
O Ivanti EPM auxilia os administradores a gerenciar dispositivos clientes que operam em várias plataformas, incluindo Windows, macOS, Chrome OS e sistemas operacionais IoT.
A falha de segurança (CVE-2024-29847) é causada por uma fraqueza na deserialização de dados não confiáveis no portal do agente, que foi tratada nos patches rápidos do Ivanti EPM 2024 e na Atualização de Serviço 6 (Service Update 6, SU6) do Ivanti EPM 2022.
"Uma exploração bem-sucedida pode levar ao acesso não autorizado ao servidor central do EPM," disse a empresa em um comunicado publicado hoje.
Por enquanto, a Ivanti adicionou que não tem conhecimento de nenhum cliente que tenha sido explorado por essas vulnerabilidades no momento da divulgação.
Atualmente, não há exploração pública conhecida dessa vulnerabilidade que pudesse ser usada para fornecer uma lista de indicadores de comprometimento.
Hoje, ela também corrigiu quase duas dúzias de outras falhas de alta e crítica severidade no Ivanti EPM, Workspace Control (IWC) e Cloud Service Appliance (CSA) que não foram exploradas no mundo antes da correção.
Em janeiro, a empresa corrigiu uma vulnerabilidade similar RCE (CVE-2023-39336) no Ivanti EPM que poderia ser explorada para acessar o servidor central ou sequestrar dispositivos inscritos.
A Ivanti disse que intensificou a varredura interna, exploração manual e capacidades de teste nos últimos meses, enquanto trabalhava também em melhorar seu processo de divulgação responsável para tratar questões potenciais mais rapidamente.
"Isso causou um aumento na descoberta e divulgação, e concordamos com a declaração da CISA de que a descoberta e divulgação responsável de CVEs é 'um sinal de uma comunidade de análise e teste de código saudável'," disse a Ivanti.
Esta declaração segue a exploração extensiva no mundo real de múltiplos zero-days da Ivanti nos últimos anos.
Por exemplo, os dispositivos VPN da Ivanti foram alvo desde dezembro de 2023 usando explorações que encadeavam as falhas de injeção de comando CVE-2024-21887 e a falha de bypass de autenticação CVE-2023-46805 como zero-days.
A empresa também alertou sobre um terceiro zero-day (um bug de falsificação de solicitação do lado do servidor agora rastreado como
CVE-2024-21893
) sob exploração em massa em fevereiro, permitindo que atacantes burlassem a autenticação em gateways ICS, IPS e ZTA vulneráveis.
A Ivanti afirma ter mais de 7.000 parceiros em todo o mundo, e mais de 40.000 empresas usam seus produtos para gerenciar seus ativos e sistemas de TI.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...