Ivanti heeft software-updates uitgebracht om meerdere beveiligingslekken met gevolgen voor Endpoint Manager (EPM) aan te pakken, waaronder 10 kritieke kwetsbaarheden die kunnen leiden tot uitvoering van externe code.
Een korte beschrijving van de problemen is als volgt:
- CVE-2024-29847 (CVSS-score: 10,0) – Een kwetsbaarheid in de deserialisatie van niet-vertrouwde gegevens waardoor een niet-geverifieerde aanvaller op afstand code kan uitvoeren.
- CVE-2024-32840, CVE-2024-32842, CVE-2024-32843, CVE-2024-32845, CVE-2024-32846, CVE-2024-32848, CVE-2024-34779, CVE-2024-34783 en CVE-2024-34785 (CVSS-scores: 9,1) – Meerdere niet-gespecificeerde SQL-injectiekwetsbaarheden die een op afstand geverifieerde aanvaller met beheerdersrechten in staat stellen om op afstand code uit te voeren
De fouten hebben betrekking op EPM-versies 2024 en 2022 SU5 en eerder. Oplossingen zijn beschikbaar in respectievelijk versie 2024 SU1 en 2022 SU6.
Ivanti zei dat er geen bewijs is gevonden dat de fouten in het wild worden uitgebuit als zero-day, maar het is essentieel dat gebruikers updaten naar de nieuwste versie om beschermd te zijn tegen mogelijke bedreigingen.
In de update van september worden ook zeven zeer ernstige tekortkomingen in Ivanti Workspace Control (IWC) en Ivanti Cloud Service Appliance (CSA) aangepakt.
Het bedrijf gaf aan dat het de interne scan-, handmatige exploitatie- en testmogelijkheden heeft opgevoerd en dat het verbeteringen heeft doorgevoerd in het proces voor verantwoorde openbaarmaking om potentiële problemen snel te ontdekken en aan te pakken.
“Dit heeft geleid tot een piek in ontdekking en openbaarmaking”, aldus het bedrijf.
De ontwikkeling volgt op uitgebreid gebruik van diverse zero-days in Ivanti-apparaten, onder meer door cyberespionagegroepen in China om netwerken van belanghebbende partijen te hacken.
Zyxel heeft bovendien oplossingen uitgebracht voor een kritieke kwetsbaarheid in het besturingssysteem (CVE-2024-6342, CVSS-score: 9,8) met betrekking tot opdrachtinjectie in twee van zijn NAS-apparaten (Network Attached Storage).
“Een kwetsbaarheid voor opdrachtinjectie in het export-cgi-programma van Zyxel NAS326- en NAS542-apparaten kan een niet-geverifieerde aanvaller in staat stellen bepaalde opdrachten van het besturingssysteem uit te voeren door een gefabriceerd HTTP POST-verzoek te versturen”, aldus het bedrijf in een waarschuwing.
Het beveiligingslek is aangepakt in de onderstaande versies:
- NAS326 (betreft V5.21(AAZF.18)C0 en eerder) – Opgelost in V5.21(AAZF.18)Hotfix-01
- NAS542 (betreft V5.21(ABAG.15)C0 en eerder) – Opgelost in V5.21(ABAG.15)Hotfix-01