A Ivanti lançou atualizações de segurança para solucionar quatro falhas de segurança que afetam os gateways Join Safe e Coverage Safe que podem resultar na execução de código e negação de serviço (DoS).
A lista de falhas é a seguinte –
- CVE-2024-21894 (pontuação CVSS: 8.2) – Uma vulnerabilidade de heap overflow no componente IPSec do Ivanti Join Safe (9.x, 22.x) e Ivanti Coverage Safe permite que um usuário mal-intencionado não autenticado envie solicitações especialmente criadas para travar o serviço, causando assim um ataque DoS. Em certas condições, isto pode levar à execução de código arbitrário.
- CVE-2024-22052 (pontuação CVSS: 7,5) – Uma vulnerabilidade de desreferência de ponteiro nulo no componente IPSec do Ivanti Join Safe (9.x, 22.x) e do Ivanti Coverage Safe permite que um usuário mal-intencionado não autenticado envie solicitações especialmente criadas para travar o serviço, causando assim um ataque DoS.
- CVE-2024-22053 (pontuação CVSS: 8.2) – Uma vulnerabilidade de heap overflow no componente IPSec do Ivanti Join Safe (9.x, 22.x) e Ivanti Coverage Safe permite que um usuário mal-intencionado não autenticado envie solicitações especialmente criadas para travar o serviço, causando assim um ataque DoS ou, em certas condições, ler o conteúdo da memória.
- CVE-2024-22023 (pontuação CVSS: 5.3) – Uma expansão de entidade XML ou vulnerabilidade XEE no componente SAML do Ivanti Join Safe (9.x, 22.x) e do Ivanti Coverage Safe permite que um invasor não autenticado envie solicitações XML especialmente criadas para causar temporariamente o recurso exaustão, resultando assim em um DoS por tempo limitado.
A empresa, que tem enfrentado um fluxo constante de falhas de segurança em seus produtos desde o início do ano, disse não ter conhecimento de “nenhum cliente sendo explorado por essas vulnerabilidades no momento da divulgação”.
No closing do mês passado, a Ivanti enviou patches para falhas críticas em seu produto Standalone Sentry (CVE-2023-41724, pontuação CVSS: 9,6) que poderia permitir que um agente de ameaça não autenticado executasse comandos arbitrários no sistema operacional subjacente.
Ele também resolveu outra falha crítica que afetava as versões locais do Neurons for ITSM (CVE-2023-46808, pontuação CVSS: 9,9) que um invasor remoto autenticado poderia abusar para realizar gravações arbitrárias de arquivos e obter execução de código.
Em uma carta aberta publicada em 3 de abril de 2023, o CEO da Ivanti, Jeff Abbott, disse que a empresa está “analisando de perto” sua própria postura e processos para atender aos requisitos do atual cenário de ameaças.
A Abbott também disse que “os acontecimentos nos últimos meses têm sido humilhantes” e que está executando um plano que essencialmente muda seu modelo operacional de segurança, adotando princípios de segurança desde o design, compartilhando informações com os clientes com whole transparência e reestruturando sua engenharia, segurança e práticas de gerenciamento de vulnerabilidade.
“Estamos intensificando nossas capacidades internas de varredura, exploração guide e testes, envolvendo terceiros confiáveis para aumentar nossa pesquisa interna e facilitando a divulgação responsável de vulnerabilidades com maiores incentivos em torno de um programa aprimorado de recompensas de bugs”, disse Abbott.
