A Ivanti lançou na terça-feira correções para solucionar várias falhas críticas de segurança no Endpoint Supervisor (EPM) que poderiam ser exploradas para obter execução remota de código sob certas circunstâncias.
Seis das 10 vulnerabilidades – de CVE-2024-29822 a CVE-2024-29827 (pontuações CVSS: 9,6) – estão relacionadas a falhas de injeção de SQL que permitem que um invasor não autenticado dentro da mesma rede execute código arbitrário.
Os quatro bugs restantes – CVE-2024-29828, CVE-2024-29829, CVE-2024-29830 e CVE-2024-29846 (pontuações CVSS: 8,4) – também se enquadram na mesma categoria, com a única alteração sendo que eles exigem que o invasor seja autenticado.
As deficiências afetam o servidor Core do Ivanti EPM versões 2022 SU5 e anteriores.
A empresa também corrigiu uma falha de segurança de alta gravidade na versão 6.4.3.602 do Avalanche (CVE-2024-29848, pontuação CVSS: 7.2) que poderia permitir que um invasor conseguisse a execução remota de código carregando um arquivo especialmente criado.
Além disso, foram enviados patches para cinco outras vulnerabilidades de alta gravidade: uma injeção de SQL (CVE-2024-22059) e um bug de add irrestrito de arquivos (CVE-2024-22060) no Neurons for ITSM, uma falha de injeção de CRLF no Join Safe (CVE-2023-38551) e dois problemas de escalonamento de privilégios locais no cliente Safe Entry para Home windows (CVE-2023-38042) e Linux (CVE-2023-46810).
Ivanti enfatizou que não há evidências de que as falhas tenham sido exploradas ou que tenham sido “introduzidas maliciosamente em nosso processo de desenvolvimento de código” por meio de um ataque à cadeia de suprimentos.
O desenvolvimento ocorre no momento em que surgem detalhes sobre uma falha crítica na versão de código aberto do mecanismo federado de orquestração e execução de Huge Knowledge Genie desenvolvido pela Netflix (CVE-2024-4701, pontuação CVSS: 9,9) que pode levar à execução remota de código.
Descrita como uma vulnerabilidade de passagem de caminho, a deficiência pode ser explorada para gravar um arquivo arbitrário no sistema de arquivos e executar código arbitrário. Afeta todas as versões do software program anteriores a 4.3.18.
O problema decorre do fato de que a API REST do Genie foi projetada para aceitar um nome de arquivo fornecido pelo usuário como parte da solicitação, permitindo assim que um agente mal-intencionado crie um nome de arquivo de modo que possa sair do caminho padrão de armazenamento de anexos e gravar um arquivo com qualquer nome especificado pelo usuário para um caminho especificado pelo ator.
“Qualquer usuário do Genie OSS que execute sua própria instância e dependa do sistema de arquivos para armazenar anexos de arquivos enviados ao aplicativo Genie pode ser afetado”, disseram os mantenedores em um comunicado.
“Usando esta técnica, é possível gravar um arquivo com qualquer nome de arquivo e conteúdo de arquivo especificados pelo usuário em qualquer native no sistema de arquivos ao qual o processo Java tenha acesso de gravação – potencialmente levando à execução remota de código (RCE).”
Dito isto, os usuários que não armazenam os anexos localmente no sistema de arquivos subjacente não são suscetíveis a esse problema.
“Se for bem-sucedido, tal ataque pode enganar um aplicativo da Net, fazendo-o ler e, consequentemente, expor o conteúdo de arquivos fora do diretório raiz do documento do aplicativo ou do servidor da Net, incluindo credenciais para sistemas back-end, código e dados do aplicativo e informações confidenciais arquivos do sistema operacional”, disse Joseph Beeton, pesquisador da Distinction Safety.
No início deste mês, o governo dos EUA alertou sobre as tentativas contínuas dos agentes de ameaças de explorar defeitos de passagem de diretório em software program para violar alvos, apelando aos desenvolvedores que adotassem uma abordagem segura desde o design para eliminar tais falhas de segurança.
“Incorporar esta mitigação de risco desde o início – começando na fase de design e continuando através do lançamento e atualizações do produto – reduz tanto o fardo da segurança cibernética para os clientes como o risco para o público”, afirmou o governo.
A divulgação também ocorre após várias vulnerabilidades (CVE-2023-5389 e CVE-2023-5390) no Management Edge Unit Operations Controller (UOC) da Honeywell que podem resultar na execução remota de código não autenticado.
“Um invasor que já esteja em uma rede OT usaria um pacote de rede malicioso para explorar esta vulnerabilidade e comprometer o controlador digital”, disse Claroty. “Esse ataque poderia ser realizado remotamente para modificar arquivos, resultando no controle complete do controlador e na execução de códigos maliciosos”.
