Af Eskil Sørensen, 05/01/24
Ivanti har rettet en kritisk sårbarhed i deres Endpoint Management-software (EPM).
Det skriver bl.a.The Hacker News og Bleeping Computer.
Udnyttelse af sårbarheden kan medføre afvikling af kode fra 'remote' (RCE), hvorved uautoriserede uautoriserede fjendtlige aktører kan tage kontrol over enheder registreret i EPM eller selve serveren, der afvikler EPM. Sårbarheden har id’et CVE-2023-39336 og en CVSS-score på 9,6.
Hvis sårbarheden udnyttes, kan en angriber med adgang til det interne netværk, udnytte ’SQL-injection’-teknikker til at udføre SQL-forespørgsler og hente output uden at være autentificeret. Dette kan medføre, at en fjendtlig aktør kan få kontrol over enheder, der er registreret i EPM. Hvis serveren, der afvikler EPM også er sat til at tillade brugen af SQL Express, kan dette ydermere føre til ’remote code execution’ på serveren.
De berørte versioner er EPM 2022 SU4 og alle tidligere versioner.
Ivanti oplyser, at man ikke er bekendt med rapporter om aktiv udnyttelse, men med offentliggørelse af sårbarheden kan dette hurtigt ændre sig.
Links:
https://forums.ivanti.com/s/article/SA-2023-12-19-CVE-2023-39336?language=en_US
https://thehackernews.com/2024/01/alert-ivanti-releases-patch-for.html
https://www.bleepingcomputer.com/news/security/ivanti-warns-critical-epm...