Ivanti a corrigé une vulnérabilité critique d’exécution de code à distance (RCE) dans son logiciel de gestion des terminaux (EPM) qui pouvait permettre à des attaquants non authentifiés de détourner les appareils inscrits ou le serveur principal.

Ivanti EPM permet de gérer les appareils clients exécutant un large éventail de plates-formes, de Windows et macOS aux systèmes d’exploitation Chrome OS et IoT.

La faille de sécurité (suivie comme CVE-2023-39336) affecte toutes les versions d’Ivanti EPM prises en charge, et elle a été résolue dans la mise à jour de service 5 de la version 2022.

Les attaquants ayant accès au réseau interne d’une cible peuvent exploiter la vulnérabilité dans des attaques de faible complexité qui ne nécessitent ni privilèges ni interaction de l’utilisateur.

« En cas d’exploitation, un attaquant ayant accès au réseau interne peut tirer parti d’une injection SQL non spécifiée pour exécuter des requêtes SQL arbitraires et récupérer la sortie sans avoir besoin d’authentification », explique Ivanti.

« Cela peut ensuite permettre à l’attaquant de contrôler les machines exécutant l’agent EPM. Lorsque le serveur principal est configuré pour utiliser SQL express, cela peut conduire à RCE sur le serveur principal. »

La société affirme qu’elle n’a aucune preuve que ses clients ont été affectés par des attaquants exploitant cette vulnérabilité.

Actuellement, Ivanti bloque l’accès public à un avis contenant tous les détails de CVE-2023-39336, ce qui devrait donner aux clients plus de temps pour sécuriser leurs appareils avant que les auteurs de menaces puissent créer des exploits à l’aide des informations supplémentaires.

Zéro-jours exploités à l’état sauvage
En juillet, des pirates informatiques affiliés à un État ont utilisé deux failles zero-day (CVE-2023-35078 et CVE-2023-35081) dans Endpoint Manager Mobile (EPMM) d’Ivanti, anciennement MobileIron Core, pour infiltrer les réseaux de plusieurs organisations gouvernementales norvégiennes.

« Les systèmes de gestion des appareils mobiles (MDM) sont des cibles attrayantes pour les acteurs de la menace car ils offrent un accès élevé à des milliers d’appareils mobiles, et les acteurs APT ont exploité une vulnérabilité antérieure de MobileIron », a averti CISA.

« Par conséquent, CISA et NCSC-NO sont préoccupés par le potentiel d’exploitation généralisée dans les réseaux du gouvernement et du secteur privé. »

Un troisième jour zéro (CVE-2023-38035) dans le logiciel Sentry d’Ivanti (anciennement MobileIron Sentry) a été exploité lors d’attaques un mois plus tard.

L’entreprise a également corrigé plus d’une douzaine de vulnérabilités de sécurité critiques dans sa solution Avalanche enterprise mobile device management (MDM) en décembre et août.

Les produits Ivanti sont utilisés par plus de 40 000 entreprises dans le monde pour gérer leurs actifs et systèmes informatiques.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *