A Ivanti abordou uma vulnerabilidade crítica em seu software Endpoint Management (EPM), que poderia permitir que invasores não autenticados executassem código remoto no servidor principal.
A Ivanti EPM oferece suporte aos administradores no gerenciamento de dispositivos clientes que executam várias plataformas, como Windows, macOS, Chrome OS e sistemas IoT.
O problema de segurança, identificado como CVE-2024-29847, decorre de uma vulnerabilidade de desserialização no portal do agente. Essa falha foi resolvida nos hot patches do Ivanti EPM 2024 e no EPM 2022 Service Update 6 (SU6).
“A exploração bem-sucedida pode resultar em acesso não autorizado ao servidor principal do EPM”, observou a Ivanti em um comunicado divulgado hoje.
A empresa também declarou que, no momento da divulgação, “não estava ciente de nenhum cliente sendo explorado por essas vulnerabilidades” e que nenhuma exploração pública conhecida havia ocorrido, o que significa que não há indicadores atuais de comprometimento.
Além disso, a Ivanti corrigiu quase duas dúzias de outras falhas de alta gravidade e críticas no EPM, Workspace Control (IWC) e Cloud Service Appliance (CSA), nenhuma das quais havia sido explorada na natureza antes de ser corrigida.
Anteriormente, em janeiro, a Ivanti corrigiu uma vulnerabilidade RCE semelhante (CVE-2023-39336) no EPM, que poderia ter sido explorada para obter acesso ao servidor principal ou comprometer dispositivos registrados.
Aumento de falhas corrigidas devido a melhorias de segurança
A Ivanti anunciou que aumentou seus esforços de varredura interna, exploração manual e testes nos últimos meses, ao mesmo tempo em que se concentrou em aprimorar seu processo de divulgação responsável para abordar vulnerabilidades mais rapidamente.
“Isso levou a um aumento na descoberta e divulgação de vulnerabilidades. Nós nos alinhamos com a declaração da CISA de que a identificação e divulgação responsáveis de CVEs é ‘um sinal de uma comunidade saudável de análise e teste de código'”, afirmou Ivanti.
Isso segue a exploração generalizada de várias vulnerabilidades de dia zero da Ivanti nos últimos anos. Desde dezembro de 2023, os dispositivos Ivanti VPN têm sido alvos de invasores usando exploits que encadeiam as falhas de injeção de comando CVE-2024-21887 e bypass de autenticação CVE-2023-46805.
A empresa também alertou sobre uma terceira vulnerabilidade de dia zero, um bug de falsificação de solicitação do lado do servidor (CVE-2024-21893), que foi explorado em massa em fevereiro, permitindo que invasores ignorassem a autenticação em gateways ICS, IPS e ZTA vulneráveis.
A Ivanti relata que mais de 7.000 parceiros e mais de 40.000 empresas globalmente usam seus produtos para gerenciar ativos e sistemas de TI.
Fonte: BleepingComputer, Sergiu Gatlan
