Deux dépassements de mémoire tampon basés sur la pile suivis collectivement comme CVE-2023-32560 affectent Ivanti Avalanche, une solution de gestion de la mobilité d’entreprise (EMM) conçue pour gérer, surveiller et sécuriser une large gamme d’appareils mobiles.
Les failles sont classées critiques (CVSS v3 : 9.8) et sont exploitables à distance sans authentification de l’utilisateur, permettant potentiellement aux attaquants d’exécuter du code arbitraire sur le système cible.
La vulnérabilité affecte WLAvalancheService.exe version 6.4.0.0 et antérieure, qui reçoit des communications sur le port TCP 1777.
Un attaquant envoyant des paquets de données spécialement conçus contenant des chaînes hexadécimales (type 3) ou une liste de chaînes décimales séparées par « ; » (type 9) peut provoquer un débordement de tampon en raison d’un tampon basé sur la pile de taille fixe utilisé pour stocker les données converties.
Le débordement de tampon est un type de problème de sécurité dans lequel un programme écrit plus de données dans un bloc de mémoire adjacent (tampon) qu’il ne peut en contenir, écrasant ces emplacements et provoquant des plantages de programme ou l’exécution de code arbitraire.
Les débordements de tampon basés sur la pile concernent l’écrasement des régions allouées sur la pile, une région mémoire qui stocke les variables locales et les adresses de retour du programme, permettant de diriger le programme pour exécuter du code malveillant.
Les problèmes ont été découverts par les chercheurs de Tenable et signalés à Ivanti le 4 avril 2023, tandis qu’une preuve de concept a été partagée avec le fournisseur le 13 avril 2023.
Après avoir prolongé la fenêtre de divulgation pour donner plus de temps au fournisseur pour résoudre les problèmes, une mise à jour de sécurité a été publiée le 3 août 2023, avec la version 6.4.1 d’Avalanche.
En plus de CVE-2023-32560, la version 6.4.1 d’Avalanche corrige également CVE-2023-32561, CVE-2023-32562, CVE-2023-32563, CVE-2023-32564, CVE-2023-32565 et CVE-2023- 32566, concernant diverses failles de contournement d’authentification et d’exécution de code à distance.
Le logiciel Ivanti est utilisé dans des systèmes et des paramètres critiques, de sorte que les auteurs de menaces recherchent constamment des vulnérabilités de gravité critique qui constituent des passerelles potentielles pour les attaques.
Le mois dernier, il a été révélé que des pirates avaient exploité une vulnérabilité de contournement d’authentification de type zero-day (CVE-2023-35078) dans Ivanti Endpoint Manager Mobile (EPMM) pour violer une plate-forme utilisée par douze ministères du gouvernement norvégien, accéder à des informations potentiellement sensibles et classifiées.