A Ivanti lançou atualizações de software program para corrigir diversas falhas de segurança que afetam o Endpoint Supervisor (EPM), incluindo 10 vulnerabilidades críticas que podem resultar na execução remota de código.
Uma breve descrição dos problemas é a seguinte:
- CVE-2024-29847 (pontuação CVSS: 10,0) – Uma vulnerabilidade de desserialização de dados não confiáveis que permite que um invasor remoto não autenticado execute código.
- CVE-2024-32840, CVE-2024-32842, CVE-2024-32843, CVE-2024-32845, CVE-2024-32846, CVE-2024-32848, CVE-2024-34779, CVE-2024-34783 e CVE-2024-34785 (pontuações CVSS: 9,1) – Várias vulnerabilidades de injeção de SQL não especificadas que permitem que um invasor remoto autenticado com privilégios de administrador obtenha execução de código
As falhas afetam as versões 2024 e 2022 SU5 e anteriores do EPM, com correções disponibilizadas nas versões 2024 SU1 e 2022 SU6, respectivamente.
Ivanti disse que não encontrou evidências de que as falhas estejam sendo exploradas na natureza como um dia zero, mas é essencial que os usuários atualizem para a versão mais recente para se protegerem contra possíveis ameaças.
Também foram abordadas como parte da atualização de setembro sete deficiências de alta gravidade no Ivanti Workspace Management (IWC) e no Ivanti Cloud Service Equipment (CSA).
A empresa disse que aumentou seus recursos internos de varredura, exploração guide e testes, e que fez melhorias em seu processo de divulgação responsável para descobrir e resolver rapidamente possíveis problemas.
“Isso causou um aumento nas descobertas e divulgações”, observou a empresa.
O desenvolvimento ocorre após uma ampla exploração in loco de vários ataques de dia zero em dispositivos Ivanti, inclusive por grupos de espionagem cibernética China-nexus para violar redes de interesse.
Ele também veio junto com o lançamento da Zyxel de correções para uma vulnerabilidade crítica de injeção de comando do sistema operacional (SO) (CVE-2024-6342, pontuação CVSS: 9,8) em dois de seus dispositivos de armazenamento conectado à rede (NAS).
“Uma vulnerabilidade de injeção de comando no programa export-cgi dos dispositivos Zyxel NAS326 e NAS542 pode permitir que um invasor não autenticado execute alguns comandos do sistema operacional (SO) enviando uma solicitação HTTP POST elaborada”, disse a empresa em um alerta.
A falha de segurança foi corrigida nas versões abaixo –
- NAS326 (afeta V5.21(AAZF.18)C0 e anteriores) – Corrigido em V5.21(AAZF.18)Hotfix-01
- NAS542 (afeta V5.21(ABAG.15)C0 e anteriores) – Corrigido em V5.21(ABAG.15)Hotfix-01
