Albisteak

Kalteberatasunak Ivanti Avalanche, Ivanti Application Control Engine eta Ivanti EPMn

Argitalpen-data: 

Ivanti produktuetako hainbat kalteberatasun kritiko eta altu identifikatu dira, hala nola Ivanti EPM eta Ivanti Avalanche, ibilbide absolutuko traversala, SQL injekzioa eta kodearen urruneko exekuzioa barne, kaltetutako sistemen segurtasuna larriki arriskuan jarriz. Kalteberatasun kritikoenen artean honako hauek daude: CVE-2024-13161, CVE-2024-13160, CVE-2024-10811 eta CVE-2024-13159, zeinek konfidentzialtasun, osotasun eta erabilgarritasunarentzat mehatxu larriak dakartzaten. Ivanti-k segurtasun-eguneratzeak argitaratu ditu, arrisku horiek berehala arintzeko eta enpresa-inguruneak babesteko aplikatu behar direnak.

Kaltetutako baliabideak

  • Ivanti Avalanche
  • Ivanti Application Control Engine
  • Ivanti Endpoint Manager (EPM)

Analisia teknikoa

  • CVE-2024-13161: Ibilbide absolutuaren traversala Ivanti EPM-en, 2024-2025eko urtarrileko segurtasun-eguneratzea eta 2025eko urtarrileko SU6 segurtasun-eguneratzea baino lehen. Kalteberatasun honek erasotzaile urrun autentifikatu gabe bati informazio sentikorra iragaztea ahalbidetzen dio.
  • CWE-36
  • CVSS: 9.8
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Esplotazioa: Ez detektatua
  • CVE-2024-13160: Ibilbide absolutuaren traversala Ivanti EPM-en, 2024-2025eko urtarrileko segurtasun-eguneratzea eta 2022ko urtarrileko SU6 segurtasun-eguneratzea baino lehen. Kalteberatasun honek informazio sentikorra iragaztea ahalbidetzen dio erasotzaile urrun autentifikatu gabe bati. Kalteberatasuna HTTP eskaeretan erabiltzaileen sarreren balioztapen egokiaren faltagatik gertatzen da. Erasotzaileak HTTP eskaera manipulatu bat bidal dezake sistema eragilearen fitxategietara sartzeko, hala nola konfigurazioak, kredentzialak eta segurtasunarekin lotutako beste datu kritiko batzuk. Arrakastaz ustiatuz gero, erasotzaileak sistemaren informazio sentikorra eskuratu dezake, pribilegioen eskalada bezalako eraso gehigarriak erraztuz. Ivanti-k kalteberatasun hau konpontzeko software-eguneratze bat kaleratu du. Arrisku hori arintzeko eguneratzea lehenbailehen aplikatzea gomendatzen da.
  • CWE-36
  • CVSS: 9.8
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Esplotazioa: Ez detektatua
  • CVE-2024-10811: Ibilbide absolutuaren traversala Ivanti EPM-en, 2024-2025eko urtarrileko segurtasun-eguneratzea eta 2022ko urtarrileko SU6 segurtasun-eguneratzea baino lehen. Kalteberatasun honek erasotzaile urrun autentifikatu gabe bati informazio sentikorra iragaztea ahalbidetzen dio.
  • CWE-36
  • CVSS: 9.8
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Esplotazioa: Ez detektatua
  • CVE-2024-13159: Ibilbide Absolutuaren Traversala Ivanti EPM-en, 2024-2025eko urtarrileko segurtasun-eguneratzea eta 2022ko urtarrileko SU6 segurtasun-eguneratzea baino lehen, eta horrek erasotzaile urrun autentifikatu gabe bati informazio sentikorra iragaztea ahalbidetzen dio.
  • CWE-36
  • CVSS: 9.8
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Esplotazioa: Ez detektatua
  • CVE-2024-10630: Exekuzio-egoera bat Ivanti Application Control Engine bertsioan 10.14.4.0 eta aurrekoetan, eta horrek erabiltzaile lokal autentifikatu bati aplikazioaren blokeoa saihestea ahalbidetzen dio.
  • CWE-366
  • CVSS: 7.8
  • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
  • Esplotazioa: Ez detektatua
  • CVE-2024-13172: Sinaduren egiaztapen okerra Ivanti EPM-en, 2024-2025eko urtarrileko segurtasun-eguneratzea eta 2022ko urtarrileko SU6 segurtasun-eguneratzea baino lehen, eta horrek erasotzaile urrun autentifikatu gabe bati kode urruneko exekuzioa lortzea ahalbidetzen dio. Erabiltzaile lokalaren interakzioa beharrezkoa da.
  • CWE-347
  • CVSS: 7.8
  • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
  • Esplotazioa: Ez detektatua
  • CVE-2024-13171: Fitxategi-izenak balioztatzeko nahikoa ez den prozesua Ivanti EPM-en, 2024-2025eko urtarrileko segurtasun-eguneratzea eta 2022ko urtarrileko SU6 segurtasun-eguneratzea baino lehen, eta horrek erasotzaile urrun autentifikatu gabe bati kode urruneko exekuzioa lortzea ahalbidetzen dio. Erabiltzaile lokalaren interakzioa beharrezkoa da.
  • CWE-434
  • CVSS: 7.8
  • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
  • Esplotazioa: Ez detektatua
  • CVE-2024-13163: Fidagarriak ez diren datuen deserializazioa Ivanti EPM-en, 2024-2025eko urtarrileko segurtasun-eguneratzea eta 2022ko urtarrileko SU6 segurtasun-eguneratzea baino lehen, eta horrek erasotzaile urrun autentifikatu gabe bati kode urruneko exekuzioa lortzea ahalbidetzen dio. Erabiltzaile lokalaren interakzioa beharrezkoa da.
  • CWE-502
  • CVSS: 7.8
  • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
  • Esplotazioa: Ez detektatua
  • CVE-2024-13164: Baliabide inicializatu gabea Ivanti EPM-en, 2024-2025eko urtarrileko segurtasun-eguneratzea eta 2022ko urtarrileko SU6 segurtasun-eguneratzea baino lehen, eta horrek erabiltzaile lokal autentifikatu bati bere pribilegioak eskalatzea ahalbidetzen dio.
  • CWE-908
  • CVSS: 7.8
  • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
  • Esplotazioa: Ez detektatua
  • CVE-2024-13169: Mugatik kanpoko irakurketa bat Ivanti EPM-en, 2024-2025eko urtarrileko segurtasun-eguneratzea eta 2022ko urtarrileko SU6 segurtasun-eguneratzea baino lehen, eta horrek erabiltzaile lokal autentifikatu bati bere pribilegioak eskalatzea ahalbidetzen dio.
  • CWE-125
  • CVSS: 7.8
  • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
  • Esplotazioa: Ez detektatua
  • CVE-2024-13168: Mugatik kanpoko idazketa bat Ivanti EPM-en, 2024-2025eko urtarrileko segurtasun-eguneratzea eta 2022ko urtarrileko SU6 segurtasun-eguneratzea baino lehen, eta horrek erasotzaile urrun autentifikatu gabe bati zerbitzu-ukapena eragitea ahalbidetzen dio.
  • CWE-787
  • CVSS: 7.5
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
  • Esplotazioa: Ez detektatua
  • CVE-2024-13180: Ibilbide Traversala Ivanti Avalanche-n, 6.4.7 bertsio baino lehen. Kalteberatasun honek erasotzaile urrun autentifikatu gabe bati informazio sentikorra iragaztea ahalbidetzen dio. CVE hau CVE-2024-47011 kalteberatasunaren zuzenketa osatugabeak lantzen ditu.
  • CWE-22
  • CVSS: 7.5
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
  • Esplotazioa: Ez detektatua
  • CVE-2024-13166: Mugatik kanpoko idazketa bat Ivanti EPM-en, 2024-2025eko urtarrileko segurtasun-eguneratzea eta 2022ko urtarrileko SU6 segurtasun-eguneratzea baino lehen, eta horrek erasotzaile urrun autentifikatu gabe bati zerbitzu-ukapena eragitea ahalbidetzen dio.
  • CWE-787
  • CVSS: 7.5
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
  • Esplotazioa: Ez detektatua
  • CVE-2024-13170: Mugatik kanpoko idazketa baten kalteberatasuna identifikatu da Ivanti EPM-en. Kalteberatasun honek erasotzaile urrun autentifikatu gabe bati zerbitzu-ukapena eragitea ahalbidetzen dio. Kalteberatasuna erabiltzaileen sarreren balioztapen egokiaren faltagatik gertatzen da. Fabrikatzaileak emandako segurtasun-eguneratzeak aplikatzea gomendatzen da kalteberatasun hau arintzeko.
  • CWE-787
  • CVSS: 7.5
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
  • Esplotazioa: Ez detektatua
  • CVE-2024-13167: Mugatik kanpoko idazketa bat Ivanti EPM-en, 2024-2025eko urtarrileko segurtasun-eguneratzea eta 2022ko urtarrileko SU6 segurtasun-eguneratzea baino lehen, eta horrek erasotzaile urrun autentifikatu gabe bati zerbitzu-ukapena eragitea ahalbidetzen dio.
  • CWE-787
  • CVSS: 7.5
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
  • Esplotazioa: Ez detektatua
  • CVE-2024-13165: Mugatik kanpoko idazketa bat Ivanti EPM-en, 2024-2025eko urtarrileko segurtasun-eguneratzea eta 2022ko urtarrileko SU6 segurtasun-eguneratzea baino lehen, eta horrek erasotzaile urrun autentifikatu gabe bati zerbitzu-ukapena eragitea ahalbidetzen dio.
  • CWE-787
  • CVSS: 7.5
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
  • Esplotazioa: Ez detektatua
  • CVE-2024-47011: Ibilbide Traversala Ivanti Avalanche-n, 6.4.5 bertsio baino lehen. Kalteberatasun honek erasotzaile urrun autentifikatu gabe bati informazio sentikorra iragaztea ahalbidetzen dio.
  • CWE-22
  • CVSS: 7.5
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
  • Esplotazioa: Ez detektatua
  • CVE-2024-13181: Ibilbide Traversala Ivanti Avalanche-n, 6.4.7 bertsio baino lehen. Kalteberatasun honek erasotzaile urrun autentifikatu gabe bati autentifikazioa saihestea ahalbidetzen dio. CVE honek CVE-2024-47010 kalteberatasunaren zuzenketa osatugabeak lantzen ditu.
  • CWE-22
  • CVSS: 7.3
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
  • Esplotazioa: Ez detektatua
  • CVE-2024-13179: Ibilbide Traversala Ivanti Avalanche-n, 6.4.7 bertsio baino lehen. Kalteberatasun honek erasotzaile urrun autentifikatu gabe bati autentifikazioa saihestea ahalbidetzen dio.
  • CWE-22
  • CVSS: 7.3
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
  • Esplotazioa: Ez detektatua
  • CVE-2024-47010: Ibilbide Traversala Ivanti Avalanche-n, 6.4.5 bertsio baino lehen. Kalteberatasun honek erasotzaile urrun autentifikatu gabe bati autentifikazioa saihestea ahalbidetzen dio.
  • CWE-22
  • CVSS: 7.3
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
  • Esplotazioa: Ez detektatua
  • CVE-2024-32848: SQL injekzio espezifikatu gabea Ivanti EPM-en, 2022 SU6 bertsio edo 2024ko irailaren eguneraketa baino lehenagoko bertsioetan, eta horrek administratzaile pribilegioak dituen urruneko erabiltzaile autentifikatu bati kode urruneko exekuzioa lortzea ahalbidetzen dio.
  • CWE-89
  • CVSS: 7.2
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
  • Esplotazioa: Ez detektatua
  • CVE-2024-13158: Baliabideen bilaketa-ibilbide mugagabea Ivanti EPM-en, 2024-2025eko urtarrileko segurtasun-eguneratzea eta 2022ko urtarrileko SU6 segurtasun-eguneratzea baino lehen, eta horrek urruneko erabiltzaile autentifikatu bati, administratzaile-pribilegioekin, kode urruneko exekuzioa lortzea ahalbidetzen dio.
  • CWE-22
  • CVSS: 7.2
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
  • Esplotazioa: Ez detektatua
  • CVE-2024-13162: SQL injekzioa Ivanti EPM-n 2024ko eta 2025eko urtarrileko segurtasun-eguneratzeak (2022 SU6) baino lehen, urruneko erabiltzaile autentifikatu bati, administratzaile pribilegioekin, kodearen urruneko exekuzioa lortzea ahalbidetzen dio. CVE honek CVE-2024-32848ren konponketa osatu gabeak jorratzen ditu.
  • CWE-89
  • CVSS: 7.2
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
  • Esplotazioa: Ez detektatua

Arintzea / Konponbidea

Ivanti-k gomendatzen die bezeroei kaltetutako produktuetarako segurtasun-eguneratzeak aplikatzea, besteak beste, Ivanti Avalanche (6.4.7 bertsiora eguneratzea), Ivanti Application Control Engine (2024.3 HF1, 2024.1 HF4, 2023.3 HF3 bertsioetara eguneratzea) eta Ivanti Endpoint Manager (2025eko urtarrileko segurtasun-eguneratzeak aplikatzea). Ivanti Security Controls-en Aplikazioen Kontrolerako modulurako, fabrikatzaileak Ivanti Application Control edo Ivanti Neurons for App Control-era migratzea gomendatzen du, modulu honetarako konponketa eskuragarri egongo ez delako. Gainera, adabakiak inplementatzeko eta arintze espezifikoetarako argibide zehatzak ematen dira, bezeroek kalteberatasun horien aurka babestuta egon daitezen.

Erreferentzia osagarriak