Ivanti a publié des mises à jour de sécurité pour corriger 27 vulnérabilités dans sa solution Avalanche mobile device management (MDM), dont deux débordements de tas critiques pouvant être exploités pour l’exécution de commandes à distance.
Avalanche est utilisé par les administrateurs d’entreprise pour gérer à distance, déployer des logiciels et planifier des mises à jour sur de grandes flottes de plus de 100 000 appareils mobiles à partir d’un seul emplacement central.
Comme l’entreprise l’a expliqué mercredi, les deux failles de sécurité critiques (CVE-2024-24996 et CVE-2024-29204) ont été trouvées dans les composants WLInfoRailService et WLAvalancheService d’Avalanche.
Ils sont tous deux causés par des faiblesses de débordement de mémoire tampon basées sur le tas, qui peuvent permettre à des attaquants distants non authentifiés d’exécuter des commandes arbitraires sur des systèmes vulnérables lors d’attaques de faible complexité qui ne nécessitent aucune interaction de l’utilisateur.
Aujourd’hui, Ivanti a également corrigé 25 bogues de gravité moyenne et élevée que des attaquants distants pouvaient exploiter pour déclencher des attaques par déni de service, exécuter des commandes arbitraires en tant que SYSTÈME, lire des informations sensibles en mémoire et des attaques d’exécution de code à distance.
« Nous n’avons connaissance d’aucun client exploité par ces vulnérabilités avant leur divulgation publique. Ces vulnérabilités ont été divulguées via notre programme de divulgation responsable », a déclaré la société dans un avis de sécurité publié mardi.
« Pour résoudre les failles de sécurité répertoriées ci-dessous, il est fortement recommandé de télécharger le programme d’installation d’Avalanche et de mettre à jour vers la dernière version d’Avalanche 6.4.3. »
Les clients peuvent trouver la dernière version d’Avalanche 6.4.3 ici et plus d’informations sur les étapes de mise à niveau dans cet article d’assistance.
Ivanti a corrigé 13 vulnérabilités d’exécution de code à distance de gravité critique supplémentaires dans la solution Avalanche MDM en décembre après avoir corrigé deux autres dépassements critiques de tampon d’avalanche suivis collectivement sous le numéro CVE-2023-32560 en août.
Des pirates informatiques affiliés à un État ont utilisé deux failles zero-day (CVE-2023-35078 et CVE-2023-35081) dans Endpoint Manager Mobile (EPMM) d’Ivanti, anciennement connu sous le nom de MobileIron Core, pour pirater les réseaux de plusieurs organisations gouvernementales norvégiennes il y a un an.
Des mois plus tard, des attaquants ont enchaîné un troisième noyau MobileIron zero-day (CVE-2023-35081) avec CVE-2023-35078 pour pirater également les systèmes informatiques d’une douzaine de ministères norvégiens.
« Les systèmes de gestion des appareils mobiles (MDM) sont des cibles attrayantes pour les acteurs de la menace car ils offrent un accès élevé à des milliers d’appareils mobiles, et les acteurs APT ont exploité une vulnérabilité antérieure de MobileIron », a averti CISA en août dernier.
« Par conséquent, CISA et NCSC-NO sont préoccupés par le potentiel d’exploitation généralisée dans les réseaux du gouvernement et du secteur privé. »