Ivanti a publié des mises à jour de sécurité pour corriger 13 vulnérabilités de sécurité critiques dans la solution Avalanche enterprise mobile device management (MDM) de la société.
Avalanche permet aux administrateurs de gérer plus de 100 000 appareils mobiles à partir d’un seul emplacement central sur Internet, de déployer des logiciels et de planifier des mises à jour.
Comme Ivanti l’a expliqué mercredi, ces failles de sécurité sont dues à des faiblesses de débordement de tampon basées sur la pile ou le tas WLAvalancheService signalées par les chercheurs en sécurité de Tenable et l’initiative Zero Day de Trend Micro.
Les attaquants non authentifiés peuvent les exploiter dans des attaques de faible complexité qui ne nécessitent pas d’interaction de l’utilisateur pour obtenir l’exécution de code à distance sur des systèmes non corrigés.
« Un attaquant envoyant des paquets de données spécialement conçus au Serveur de l’appareil mobile peut provoquer une corruption de la mémoire pouvant entraîner un déni de service (DoS) ou une exécution de code », a déclaré Ivanti dans un avis de sécurité.
« Pour remédier aux failles de sécurité [..], il est fortement recommandé de télécharger le programme d’installation d’Avalanche et de mettre à jour vers la dernière version d’Avalanche 6.4.2. Ces vulnérabilités affectent toutes les versions prises en charge des produits – Avalanche versions 6.3.1 et supérieures. Les anciennes versions / versions sont également à risque. »
La société a également corrigé huit bogues de gravité moyenne et élevée que les attaquants pouvaient exploiter lors d’attaques par déni de service, d’exécution de code à distance et de falsification de requêtes côté serveur (SSRF).
Toutes les failles de sécurité divulguées aujourd’hui ont été corrigées dans Avalanche v6.4.2.313. Des informations supplémentaires sur la mise à niveau de votre installation Avalanche sont disponibles dans cet article du support Ivanti.
En août, Ivanti a corrigé deux autres dépassements critiques de tampon d’avalanche suivis collectivement sous la référence CVE-2023-32560 qui pouvaient entraîner des plantages et l’exécution de code arbitraire après une exploitation réussie.
Les auteurs de menaces ont enchaîné un troisième jour zéro MobileIron Core (CVE-2023-35081) avec CVE-2023-35078 pour pirater les systèmes informatiques d’une douzaine de ministères norvégiens un mois plus tôt.
Quatre mois plus tôt, en avril, des pirates informatiques affiliés à un État avaient utilisé deux autres failles zero-day (CVE-2023-35078 et CVE-2023-35081) dans Endpoint Manager Mobile (EPMM) d’Ivanti, anciennement MobileIron Core, pour infiltrer les réseaux de plusieurs organisations gouvernementales norvégiennes.
« Les systèmes de gestion des appareils mobiles (MDM) sont des cibles attrayantes pour les acteurs de la menace car ils offrent un accès élevé à des milliers d’appareils mobiles, et les acteurs APT ont exploité une vulnérabilité antérieure de MobileIron », a averti CISA à l’époque.
« Par conséquent, CISA et NCSC-NO sont préoccupés par le potentiel d’exploitation généralisée dans les réseaux du gouvernement et du secteur privé. »