Ivanti, uç nokta yönetim yazılımında (EPM) maksimum ciddiyet güvenlik açığı düzeltildi ve bu da kimlik doğrulanmamış saldırganların çekirdek sunucuda uzaktan kod yürütülmesine izin verebilir.
Ivanti EPM, yöneticilerin Windows, MacOS, Chrome OS ve IoT işletim sistemleri dahil olmak üzere çeşitli platformları çalıştıran istemci cihazlarını yönetmelerine yardımcı olur.
Güvenlik kusuru (CVE-2024-29847), Ivanti EPM 2024 sıcak yamaları ve Ivanti EPM 2022 Servis Güncellemesi 6 (SU6) 'da ele alınan ajan portalında güvenilmeyen veri zayıflığının dengelenmesinden kaynaklanmaktadır.
"Başarılı sömürü EPM Core Server'a yetkisiz erişime yol açabilir." Dedi.
Şu an için Ivanti, "açıklama sırasında bu güvenlik açıkları tarafından sömürülen hiçbir müşterinin farkında olmadıklarını da sözlerine ekledi. Şu anda, uzlaşma göstergelerinin bir listesini sağlamak için kullanılabilecek bu güvenlik açığının bilinen bir kamu sömürüsü yok . "
Bugün, yamalanmadan önce vahşi doğada sömürülmemiş olan Ivanti EPM, Çalışma Alanı Kontrolü (IWC) ve Bulut Servis Cihazı'nda (CSA) neredeyse iki düzine daha yüksek ve kritik şiddet kusurunu sabitledi.
Ocak ayında şirket, Ivanti EPM'de, çekirdek sunucuya erişmek veya kayıtlı cihazlara erişmek için kullanılabilecek benzer bir RCE güvenlik açığı (CVE-2023-39336) yamaladı.
Ivanti, son aylarda iç tarama, manuel sömürü ve test yeteneklerini artırdığını ve aynı zamanda potansiyel sorunları daha hızlı ele almak için sorumlu açıklama sürecini geliştirmeye çalıştığını söyledi.
Ivanti, "Bu, keşif ve ifşa konusunda bir artışa neden oldu ve CISAS ifadesine, CVES'in sorumlu keşfi ve ifşa edilmesinin 'sağlıklı kod analizi ve test topluluğunun bir işareti olduğunu' kabul ediyoruz." Dedi.
Bu ifade, son yıllarda birden fazla Ivanti sıfır gününün geniş çaplı sömürülmesini izlemektedir. Örneğin, Ivanti VPN aletleri Aralık 2023'ten bu yana CVE-2024-21887 komut enjeksiyonunu ve CVE-2023-46805 kimlik doğrulama bypass kusurlarını sıfır gün olarak zincirleyen istismarlar kullanılarak hedeflenmiştir.
Şirket ayrıca, Şubat ayında toplu sömürü altında üçüncü bir sıfır gün (sunucu tarafı isteği amorgery hatası şimdi CVE-2024-21893 olarak izlenen) uyardı ve saldırganların savunmasız ICS, IPS ve ZTA geçitlerinde kimlik doğrulamasını atlamasına izin verdi.
Ivanti, dünya çapında 7.000'den fazla ortağı olduğunu ve 40.000'den fazla şirketin ürünlerini BT varlıklarını ve sistemlerini yönetmek için kullandığını söyledi.
Apache, Critical ofBiz Uzaktan Kod Yürütme Güvenlik Açığı
Veeam, yedekleme ve çoğaltma yazılımında kritik RCE kusurunu uyarıyor
D-Link, DIR-846W yönlendiricilerinde dört RCE kusurunu düzeltmediğini söylüyor
CISA, kritik Solarwinds RCE Hatası saldırılarda kullanıldığı konusunda uyarıyor
Sıfır tıklattı Windows TCP/IP RCE, IPv6 Etkin, Şimdi Yama ile Tüm Sistemleri Etkiler
Kaynak: Bleeping Computer