Ivanti heeft dinsdag oplossingen uitgerold om meerdere kritieke beveiligingsfouten in Endpoint Manager (EPM) aan te pakken, die onder bepaalde omstandigheden kunnen worden misbruikt om code op afstand uit te voeren.
Zes van de tien kwetsbaarheden – van CVE-2024-29822 tot en met CVE-2024-29827 (CVSS-scores: 9,6) – hebben betrekking op SQL-injectiefouten waardoor een niet-geverifieerde aanvaller binnen hetzelfde netwerk willekeurige code kan uitvoeren.
De overige vier bugs – CVE-2024-29828, CVE-2024-29829, CVE-2024-29830 en CVE-2024-29846 (CVSS-scores: 8,4) – vallen ook onder dezelfde categorie, met als enige verandering dat ze vereisen dat de aanvaller wordt geverifieerd.
De tekortkomingen zijn van invloed op de Core-server van Ivanti EPM-versies 2022 SU5 en eerder.
Het bedrijf heeft ook een zeer ernstige beveiligingsfout in Avalanche versie 6.4.3.602 (CVE-2024-29848, CVSS-score: 7.2) aangepakt, waardoor een aanvaller code op afstand kon uitvoeren door een speciaal vervaardigd bestand te uploaden.
Daarnaast zijn er patches uitgebracht voor vijf andere zeer ernstige kwetsbaarheden: een SQL-injectie (CVE-2024-22059) en een bug voor het onbeperkt uploaden van bestanden (CVE-2024-22060) in Neurons for ITSM, een CRLF-injectiefout in Connect Secure (CVE-2023-38551), en twee lokale escalatieproblemen met bevoegdheden in de Secure Access-client voor Windows (CVE-2023-38042) en Linux (CVE-2023-46810).
Ivanti benadrukte dat er geen bewijs is dat de fouten in het wild worden uitgebuit of dat ze “kwaadwillig in ons codeontwikkelingsproces zijn geïntroduceerd” via een supply chain-aanval.
De ontwikkeling komt nadat details naar voren kwamen over een kritieke fout in de open-sourceversie van de Genie federatieve Big Data-orkestratie- en uitvoeringsengine, ontwikkeld door Netflix (CVE-2024-4701, CVSS-score: 9,9), die zou kunnen leiden tot uitvoering van code op afstand.
Beschreven als een kwetsbaarheid bij het doorlopen van paden, zou de tekortkoming kunnen worden misbruikt om een willekeurig bestand op het bestandssysteem te schrijven en willekeurige code uit te voeren. Het heeft invloed op alle versies van de software vóór 4.3.18.
Het probleem komt voort uit het feit dat de REST API van Genie is ontworpen om een door de gebruiker opgegeven bestandsnaam te accepteren als onderdeel van het verzoek, waardoor een kwaadwillende actor een bestandsnaam kan maken zodat deze het standaard opslagpad voor bijlagen kan doorbreken en een bestand kan schrijven. met een door de gebruiker opgegeven naam naar een pad dat door de acteur is opgegeven.
“Elke Genie OSS-gebruiker die zijn eigen instance draait en vertrouwt op het bestandssysteem om bestandsbijlagen op te slaan die naar de Genie-applicatie zijn verzonden, kan hierdoor worden getroffen”, aldus de beheerders in een advies.
“Met deze techniek is het mogelijk om een bestand met elke door de gebruiker opgegeven bestandsnaam en bestandsinhoud naar elke locatie in het bestandssysteem te schrijven waartoe het Java-proces schrijftoegang heeft – wat mogelijk kan leiden tot uitvoering van externe code (RCE).”
Dat gezegd hebbende, zijn gebruikers die de bijlagen niet lokaal op het onderliggende bestandssysteem opslaan niet vatbaar voor dit probleem.
“Als een dergelijke aanval succesvol is, kan een webapplicatie ervoor zorgen dat de inhoud van bestanden buiten de documenthoofdmap van de applicatie of de webserver wordt gelezen en vervolgens openbaar wordt gemaakt, inclusief inloggegevens voor back-endsystemen, applicatiecode en gegevens, en gevoelige informatie.” besturingssysteembestanden”, aldus Contrast Security-onderzoeker Joseph Beeton.
Eerder deze maand waarschuwde de Amerikaanse regering voor aanhoudende pogingen van bedreigingsactoren om directory traversal-defecten in software te misbruiken om doelen te doorbreken, en riep ontwikkelaars op om een 'secure by design'-aanpak te hanteren om dergelijke beveiligingslekken te elimineren.
“Het integreren van deze risicobeperking vanaf het begin – beginnend in de ontwerpfase en doorlopend tijdens de productrelease en updates – vermindert zowel de last van cyberbeveiliging voor klanten als de risico’s voor het publiek”, aldus de regering.
De openbaarmaking komt ook in de nasleep van verschillende kwetsbaarheden (CVE-2023-5389 en CVE-2023-5390) in Honeywell's Control Edge Unit Operations Controller (UOC) die kunnen resulteren in niet-geverifieerde uitvoering van externe code.
“Een aanvaller die zich al op een OT-netwerk bevindt, zou een kwaadaardig netwerkpakket gebruiken om dit beveiligingslek te misbruiken en de virtuele controller in gevaar te brengen”, aldus Claroty. “Deze aanval zou op afstand kunnen worden uitgevoerd om bestanden aan te passen, wat resulteert in volledige controle over de controller en het uitvoeren van kwaadaardige code.”
