Ivanti a corrigé une vulnérabilité de gravité maximale dans son logiciel de gestion des terminaux (EPM) qui pouvait permettre à des attaquants non authentifiés d’obtenir l’exécution de code à distance sur le serveur principal.
Ivanti EPM aide les administrateurs à gérer les appareils clients qui exécutent diverses plates-formes, notamment Windows, macOS, Chrome OS et les systèmes d’exploitation IoT.
La faille de sécurité (CVE-2024-29847) est causée par une désérialisation de la faiblesse des données non fiables dans le portail de l’agent qui a été corrigée dans les correctifs à chaud Ivanti EPM 2024 et Ivanti EPM 2022 Service Update 6 (SU6).
« Une exploitation réussie pourrait conduire à un accès non autorisé au serveur central EPM », a déclaré la société dans un avis publié aujourd’hui.
Pour le moment, Ivanti a ajouté qu’ils « n’étaient au courant d’aucun client exploité par ces vulnérabilités au moment de la divulgation. Actuellement, il n’existe aucune exploitation publique connue de cette vulnérabilité qui pourrait être utilisée pour fournir une liste d’indicateurs de compromission. »
Aujourd’hui, il a également corrigé près de deux douzaines d’autres failles de gravité élevée et critique dans Ivanti EPM, Workspace Control (IWC) et Cloud Service Appliance (CSA) qui n’avaient pas été exploitées dans la nature avant d’être corrigées.
En janvier, l’entreprise a corrigé une vulnérabilité RCE similaire (CVE-2023-39336) dans Ivanti EPM qui pouvait être exploitée pour accéder au serveur principal ou détourner des appareils inscrits.
Augmentation des failles corrigées en raison d’améliorations de la sécurité
Ivanti a déclaré avoir intensifié ses capacités d’analyse interne, d’exploitation manuelle et de test au cours des derniers mois, tout en travaillant à l’amélioration de son processus de divulgation responsable pour résoudre plus rapidement les problèmes potentiels.
« Cela a provoqué un pic de découverte et de divulgation, et nous sommes d’accord avec la déclaration du CISAs selon laquelle la découverte et la divulgation responsables des CVE sont « un signe d’une communauté saine d’analyse et de test de code », a déclaré Ivanti.
Cette déclaration fait suite à une exploitation extensive dans la nature de plusieurs zero-days Ivanti au cours des dernières années. Par exemple, les appliances Ivanti VPN sont ciblées depuis décembre 2023 à l’aide d’exploits enchaînant l’injection de commandes CVE-2024-21887 et les failles de contournement d’authentification CVE-2023-46805 en jours zéro.
La société a également mis en garde contre un troisième jour zéro (un bogue de falsification de requêtes côté serveur désormais identifié comme CVE-2024-21893) sous exploitation de masse en février, permettant aux attaquants de contourner l’authentification sur les passerelles ICS, IPS et ZTA vulnérables.
Ivanti affirme compter plus de 7 000 partenaires dans le monde et plus de 40 000 entreprises utilisent ses produits pour gérer leurs actifs et systèmes informatiques.