A Ivanti implementou atualizações de segurança para corrigir várias falhas de segurança que afetam o Avalanche, o Application Control Engine e o Endpoint Manager (EPM), incluindo quatro bugs críticos que podem levar à divulgação de informações.
Todas as quatro falhas de segurança críticas, classificadas com 9,8 de 10,0 na escala CVSS, estão localizadas no EPM e se referem a instâncias de percurso de caminho absoluto que permitem a um atacante remoto não autenticado vazar informações sensíveis.
As falhas estão listadas abaixo:
-
CVE-2024-10811
;
-
CVE-2024-13161
;
-
CVE-2024-13160
e
-CVE-2024-13159
As deficiências afetam as versões do EPM anteriores à atualização de segurança de novembro de 2024 e à atualização de segurança de novembro de 2022 SU6, tendo sido corrigidas na Atualização de Segurança de janeiro de 2024-2025 do EPM e na Atualização de Segurança de janeiro de 2024-2025 do EPM 2022 SU6.
O pesquisador de segurança da Horizon3.ai, Zach Hanley, foi creditado pela descoberta e relato de todas as quatro vulnerabilidades em questão.
Ivanti também corrigiu múltiplos bugs de alta gravidade nas versões do Avalanche anteriores a 6.4.7 e do Application Control Engine antes da versão 10.14.4.0, que poderiam permitir a um atacante burlar a autenticação, vazar informações sensíveis e contornar a funcionalidade de bloqueio de aplicativo.
A empresa afirmou não ter evidências de que qualquer uma das falhas esteja sendo explorada ativamente, e que intensificou seus procedimentos internos de varredura e teste para sinalizar e tratar questões de segurança prontamente.
Este desenvolvimento ocorre ao mesmo tempo em que a SAP lançou correções para resolver duas vulnerabilidades críticas em seu NetWeaver ABAP Server e ABAP Platform (
CVE-2025-0070
e
CVE-2025-0066
, pontuações CVSS: 9,9) que permitem a um atacante autenticado explorar verificações impróprias de autenticação para escalar privilégios e acessar informações restritas devido a controles de acesso fracos.
"A SAP recomenda fortemente que o cliente visite o Portal de Suporte e aplique os patches com prioridade para proteger seu ambiente SAP," afirmou a empresa em seu boletim de janeiro de 2025.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...