A Ivanti divulgou na terça-feira correções para abordar múltiplas falhas críticas de segurança no Endpoint Manager (EPM) que poderiam ser exploradas para realizar execução remota de código sob certas circunstâncias.
Seis das 10 vulnerabilidades – de CVE-2024-29822 até CVE-2024-29827 (pontuações CVSS: 9.6) – se relacionam a falhas de SQL injection que permitem a um atacante não autenticado, dentro da mesma rede, executar código arbitrário.
As outras quatro falhas -- CVE-2024-29828, CVE-2024-29829, CVE-2024-29830 e CVE-2024-29846 (pontuações CVSS: 8.4) -- também se enquadram na mesma categoria, com a única diferença sendo que exigem que o atacante esteja autenticado.
Essas deficiências impactam o servidor Core das versões do Ivanti EPM 2022 SU5 e anteriores.
A empresa também corrigiu uma falha de segurança de alta gravidade na versão Avalanche 6.4.3.602 (CVE-2024-29848, pontuação CVSS: 7.2) que poderia permitir a um atacante realizar execução remota de código ao fazer upload de um arquivo especialmente criado.
Além disso, patches foram disponibilizados para outras cinco vulnerabilidades de alta gravidade: um SQL injection (CVE-2024-22059) e um bug de upload de arquivo sem restrições (CVE-2024-22060) no Neurons for ITSM, uma falha de CRLF injection no Connect Secure (CVE-2023-38551), e dois problemas de escalonamento de privilégios locais no cliente Secure Access para Windows (CVE-2023-38042) e Linux (CVE-2023-46810).
A Ivanti enfatizou que não há evidências de que as falhas tenham sido exploradas ativamente ou que tenham sido "introduzidas em nosso processo de desenvolvimento de código de forma maliciosa" por meio de um ataque à cadeia de suprimentos.
O anúncio acontece enquanto detalhes emergem sobre uma falha crítica na versão open-source do motor de orquestração e execução de Big Data federado Genie desenvolvido pela Netflix (
CVE-2024-4701
, pontuação CVSS: 9.9) que pode levar à execução remota de código.
Descrita como uma vulnerabilidade de traversal de caminho, a deficiência pode ser explorada para escrever um arquivo arbitrário no sistema de arquivos e executar código arbitrário.
Isso impacta todas as versões do software anteriores à 4.3.18.
O problema deriva do fato de que a API REST do Genie é projetada para aceitar um nome de arquivo fornecido pelo usuário como parte da solicitação, permitindo assim que um ator malicioso crie um nome de arquivo de tal maneira que ele possa sair do caminho padrão de armazenamento de anexos e escrever um arquivo com qualquer nome especificado pelo usuário em um caminho especificado pelo ator.
"Qualquer usuário do Genie OSS que execute sua própria instância e dependa do sistema de arquivos para armazenar anexos de arquivos submetidos ao aplicativo Genie pode ser impactado," disseram os mantenedores em um aviso.
Usando essa técnica, é possível escrever um arquivo com qualquer nome de arquivo e conteúdo de arquivo especificados pelo usuário em qualquer local no sistema de arquivos que o processo Java tenha acesso para escrita – potencialmente levando à execução remota de código (RCE).
Dito isso, usuários que não armazenam os anexos localmente no sistema de arquivos subjacente não são suscetíveis a essa questão.
"Se bem-sucedido, tal ataque poderia enganar uma aplicação web a ler e, consequentemente, expor o conteúdo de arquivos fora do diretório raiz de documentos da aplicação ou do servidor web, incluindo credenciais para sistemas de back-end, código de aplicação e dados, e arquivos sensíveis do sistema operacional," disse o pesquisador da Contrast Security, Joseph Beeton.
No início deste mês, o governo dos EUA alertou sobre contínuas tentativas de atores de ameaças de explorar defeitos de traversal de diretório em software para violar alvos, pedindo aos desenvolvedores que adotem uma abordagem segura por design para eliminar tais lacunas de segurança.
"Incorporar essa mitigação de risco desde o início – começando na fase de design e continuando através do lançamento do produto e atualizações – reduz tanto o ônus da cibersegurança sobre os clientes quanto o risco para o público," disse o governo.
A divulgação também ocorre na esteira de várias vulnerabilidades (
CVE-2023-5389
e
CVE-2023-5390
) no Controlador de Operações da Unidade de Controle Edge da Honeywell que podem resultar em execução remota de código não autenticada.
"Um atacante já em uma rede OT utilizaria um pacote de rede malicioso para explorar essa vulnerabilidade e comprometer o controlador virtual," disse Claroty.
Este ataque poderia ser realizado remotamente a fim de modificar arquivos, resultando em controle total do controlador e na execução de código malicioso.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...