Ivanti đã phát hành các bản cập nhật bảo mật để giải quyết một lỗ hổng nghiêm trọng ảnh hưởng đến giải pháp Trình quản lý điểm cuối (EPM) của mình, nếu được khai thác thành công, có thể dẫn đến việc thực thi mã từ xa (RCE) trên các máy chủ nhạy cảm.
Được theo dõi là CVE-2023-39336, lỗ hổng đã được đánh giá 9,6 trên 10 trên hệ thống tính điểm CVSS. Những thiếu sót ảnh hưởng đến EPM 2021 và EPM 2022 trước SU5.
"Nếu bị khai thác, kẻ tấn công có quyền truy cập vào mạng nội bộ có thể tận dụng SQL injection không xác định để thực hiện các truy vấn SQL tùy ý và truy xuất đầu ra mà không cần xác thực", Ivanti cho biết trong một lời khuyên.
"Điều này sau đó có thể cho phép kẻ tấn công kiểm soát các máy chạy tác nhân EPM. Khi máy chủ lõi được cấu hình để sử dụng SQL express, điều này có thể dẫn đến RCE trên máy chủ lõi.
Việc tiết lộ được đưa ra vài tuần sau khi công ty giải quyết gần hai chục lỗ hổng bảo mật trong giải pháp quản lý thiết bị di động doanh nghiệp (MDM) Avalanche.
Trong số 21 vấn đề, 13 vấn đề được đánh giá nghiêm trọng (điểm CVSS: 9,8) và được mô tả là tràn bộ đệm chưa được xác thực. Chúng đã được vá trong Avalanche 6.4.2.
"Kẻ tấn công gửi các gói dữ liệu được chế tạo đặc biệt đến Máy chủ thiết bị di động có thể gây hỏng bộ nhớ có thể dẫn đến từ chối dịch vụ (DoS) hoặc thực thi mã", Ivanti nói.
Mặc dù không có bằng chứng nào cho thấy những điểm yếu nói trên đã bị khai thác trong tự nhiên, nhưng trước đây, các tác nhân được nhà nước hậu thuẫn đã khai thác các lỗ hổng zero-day (CVE-2023-35078 và CVE-2023-35081) trong Ivanti Endpoint Manager Mobile (EPMM) để xâm nhập vào mạng của nhiều tổ chức chính phủ Na Uy.
Một tháng sau, một lỗ hổng nghiêm trọng khác trong sản phẩm Ivanti Sentry (CVE-2023-38035, điểm CVSS: 9,8) đã bị khai thác tích cực dưới dạng zero-day.