Noticias

Vulnerabilidades en Ivanti Avalanche, Ivanti Application Control Engine e Ivanti EPM

Fecha de publicación: 

Se han identificado múltiples vulnerabilidades críticas y altas en productos de Ivanti, como Ivanti EPM e Ivanti Avalanche, que incluyen problemas como recorrido de ruta absoluta, inyección de SQL y ejecución remota de código, comprometiendo gravemente la seguridad de los sistemas afectados. Entre las vulnerabilidades de mayor criticidad se encuentran: CVE-2024-13161, CVE-2024-13160, CVE-2024-10811 y CVE-2024-13159, las cuales representan una amenaza de alta gravedad para la confidencialidad, integridad y disponibilidad de los sistemas. Ivanti ha publicado actualizaciones de seguridad que deben implementarse de inmediato para mitigar estos riesgos y proteger los entornos empresariales.

Recursos afectados

  • Ivanti Avalanche
  • Ivanti Application Control Engine
  • Ivanti Endpoint Manager (EPM)

Análisis técnico

  • CVE-2024-13161: Vulnerabilidad de recorrido de ruta absoluta en Ivanti EPM, presente antes de la actualización de seguridad de enero de 2024-2025 y la actualización de seguridad 2022 SU6 de enero de 2025, permite a un atacante remoto no autenticado filtrar información sensible.
  • CWE-36
  • CVSS: 9.8
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Explotación: No detectada
  • CVE-2024-13160: Se ha identificado una vulnerabilidad transversal de ruta absoluta en Ivanti EPM antes de la actualización de seguridad de enero de 2024-2025 y la actualización de seguridad de enero de 2022 SU6. Esta vulnerabilidad permite que un atacante remoto no autenticado filtre información confidencial del sistema afectado. La vulnerabilidad se debe a la falta de validación adecuada de las entradas del usuario en las solicitudes HTTP. Un atacante puede explotar esta falla enviando una solicitud HTTP manipulada para acceder a archivos del sistema operativo subyacente que contienen información sensible, como configuraciones, credenciales y otra información crítica para la seguridad. Un exploit exitoso de esta vulnerabilidad permitiría a un atacante obtener información confidencial del sistema, lo que podría facilitar ataques adicionales, como la escalada de privilegios. Ivanti ha lanzado una actualización de software para solucionar esta vulnerabilidad. Se recomienda a los usuarios aplicar la actualización a la brevedad para mitigar el riesgo.
  • CWE-36
  • CVSS: 9.8
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Explotación: No detectada
  • CVE-2024-10811: Vulnerabilidad transversal de ruta absoluta en Ivanti EPM antes de la actualización de seguridad de enero de 2024-2025 y la actualización de seguridad de enero de 2022 SU6 permite que un atacante remoto no autenticado filtre información confidencial.
  • CWE-36
  • CVSS: 9.8
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Explotación: No detectada
  • CVE-2024-13159: Vulnerabilidad transversal de ruta absoluta en Ivanti EPM antes de la actualización de seguridad de enero de 2024-2025 y la actualización de seguridad de enero de 2022 SU6 permite a un atacante remoto no autenticado filtrar información confidencial.
  • CWE-36
  • CVSS: 9.8
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Explotación: No detectada
  • CVE-2024-10630: La traducción solicitada es la siguiente: Una condición de ejecución en Ivanti Application Control Engine versión 10.14.4.0 y anteriores permite que un atacante autenticado local omita la funcionalidad de bloqueo de la aplicación.
  • CWE-366
  • CVSS: 7.8
  • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
  • Explotación: No detectada
  • CVE-2024-13172: La verificación de firmas incorrecta en Ivanti EPM antes de la actualización de seguridad de enero de 2024 a enero de 2025 y la actualización de seguridad de enero de 2022 SU6 a enero de 2025 permite que un atacante remoto no autenticado logre la ejecución remota de código. Se requiere la interacción del usuario local.
  • CWE-347
  • CVSS: 7.8
  • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
  • Explotación: No detectada
  • CVE-2024-13171: La validación insuficiente de nombres de archivo en Ivanti EPM antes de la actualización de seguridad de enero de 2024 a enero de 2025 y la actualización de seguridad de enero de 2022 SU6 a enero de 2025 permite que un atacante remoto no autenticado logre la ejecución remota de código. Se requiere la interacción del usuario local.
  • CWE-434
  • CVSS: 7.8
  • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
  • Explotación: No detectada
  • CVE-2024-13163: La deserialización de datos no confiables en Ivanti EPM antes de la actualización de seguridad de enero de 2024 a enero de 2025 y la actualización de seguridad de enero de 2022 SU6 a enero de 2025 permite que un atacante remoto no autenticado logre la ejecución remota de código. Se requiere la interacción del usuario local.
  • CWE-502
  • CVSS: 7.8
  • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
  • Explotación: No detectada
  • CVE-2024-13164: Recurso no inicializado en Ivanti EPM, en versiones anteriores a la actualización de seguridad de enero de 2024 a 2025 y a la actualización de seguridad SU6 de enero de 2022, permite a un atacante local autenticado escalar sus privilegios.
  • CWE-908
  • CVSS: 7.8
  • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
  • Explotación: No detectada
  • CVE-2024-13169: Una lectura fuera de los límites en Ivanti EPM antes de la actualización de seguridad de enero de 2024-2025 y la actualización de seguridad de enero de 2022 SU6 permite que un atacante autenticado local escale sus privilegios.
  • CWE-125
  • CVSS: 7.8
  • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
  • Explotación: No detectada
  • CVE-2024-13168: Una escritura fuera de los límites en Ivanti EPM antes de la Actualización de seguridad de enero de 2024-2025 y la Actualización de seguridad de enero de 2022 SU6 permite que un atacante remoto no autenticado provoque una denegación de servicio.
  • CWE-787
  • CVSS: 7.5
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
  • Explotación: No detectada
  • CVE-2024-13180: Recorrido de ruta en Ivanti Avalanche anterior a la versión 6.4.7 permite que un atacante remoto no autenticado filtre información confidencial. Este CVE aborda correcciones incompletas de la CVE-2024-47011.
  • CWE-22
  • CVSS: 7.5
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
  • Explotación: No detectada
  • CVE-2024-13166: Una escritura fuera de los límites en Ivanti EPM antes de la Actualización de seguridad de enero de 2024-2025 y la Actualización de seguridad de enero de 2022 SU6 permite que un atacante remoto no autenticado provoque una denegación de servicio.
  • CWE-787
  • CVSS: 7.5
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
  • Explotación: No detectada
  • CVE-2024-13170: Se ha identificado una vulnerabilidad de escritura fuera de los límites en Ivanti EPM, que podría ser explotada por un atacante remoto no autenticado para causar una denegación de servicio. Esta vulnerabilidad se debe a la falta de validación adecuada de las entradas del usuario. Se recomienda aplicar las actualizaciones de seguridad proporcionadas por el fabricante para mitigar esta vulnerabilidad.
  • CWE-787
  • CVSS: 7.5
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
  • Explotación: No detectada
  • CVE-2024-13167: Una escritura fuera de los límites en Ivanti EPM antes de la Actualización de seguridad de enero de 2024-2025 y la Actualización de seguridad de enero de 2022 SU6 permite que un atacante remoto no autenticado provoque una denegación de servicio.
  • CWE-787
  • CVSS: 7.5
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
  • Explotación: No detectada
  • CVE-2024-13165: Una escritura fuera de los límites en Ivanti EPM antes de la Actualización de seguridad de enero de 2024-2025 y la Actualización de seguridad de enero de 2022 SU6 permite que un atacante remoto no autenticado provoque una denegación de servicio.
  • CWE-787
  • CVSS: 7.5
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
  • Explotación: No detectada
  • CVE-2024-47011: Path Traversal en Ivanti Avalanche antes de la versión 6.4.5 permite que un atacante remoto no autenticado filtre información confidencial.
  • CWE-22
  • CVSS: 7.5
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
  • Explotación: No detectada
  • CVE-2024-13181: Path Traversal en Ivanti Avalanche versiones anteriores a 6.4.7 permite que un atacante remoto no autenticado omita la autenticación. Esta CVE aborda correcciones incompletas de CVE-2024-47010.
  • CWE-22
  • CVSS: 7.3
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
  • Explotación: No detectada
  • CVE-2024-13179: Path Traversal en Ivanti Avalanche versiones anteriores a 6.4.7 permite que un atacante remoto no autenticado omita la autenticación.
  • CWE-22
  • CVSS: 7.3
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
  • Explotación: No detectada
  • CVE-2024-47010: Path Traversal en Ivanti Avalanche versiones anteriores a la 6.4.5 permite que un atacante remoto no autenticado evite la autenticación.
  • CWE-22
  • CVSS: 7.3
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
  • Explotación: No detectada
  • CVE-2024-32848: Una inyección SQL no especificada en Ivanti EPM versiones anteriores a 2022 SU6 o la actualización de septiembre de 2024 permite que un atacante autenticado remotamente con privilegios de administrador logre la ejecución remota de código.
  • CWE-89
  • CVSS: 7.2
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
  • Explotación: No detectada
  • CVE-2024-13158: Una ruta de búsqueda de recursos ilimitada en Ivanti EPM antes de la actualización de seguridad de enero de 2024 a 2025 y la actualización de seguridad de enero de 2022 SU6 permite que un atacante autenticado remoto con privilegios de administrador logre la ejecución remota de código.
  • CWE-22
  • CVSS: 7.2
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
  • Explotación: No detectada
  • CVE-2024-13162: Inyección SQL en Ivanti EPM antes de las actualizaciones de seguridad de enero de 2024 y enero de 2025 (2022 SU6) permite a un atacante remoto autenticado con privilegios de administrador lograr la ejecución remota de código. Este CVE aborda correcciones incompletas del CVE-2024-32848.
  • CWE-89
  • CVSS: 7.2
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
  • Explotación: No detectada

Mitigación / Solución

Ivanti recomienda a los clientes aplicar las actualizaciones de seguridad necesarias para los productos afectados, incluyendo Ivanti Avalanche (actualización a la versión 6.4.7), Ivanti Application Control Engine (actualizar a las versiones 2024.3 HF1, 2024.1 HF4, 2023.3 HF3), e Ivanti Endpoint Manager (aplicar las actualizaciones de seguridad de enero de 2025). Para el módulo de Control de Aplicaciones de Ivanti Security Controls, el fabricante sugiere migrar a Ivanti Application Control o Ivanti Neurons for App Control, ya que no habrá un parche disponible para este módulo. Además, se proporcionan instrucciones detalladas para la implementación de parches y mitigaciones específicas, asegurando que los clientes estén protegidos contra estas vulnerabilidades.

Referencias adicionales