شرکت Ivanti یک آسیبپذیری با شدت بسیار بالا در نرمافزار مدیریت نقاط پایانی (Endpoint Management) خود، که به اختصار EPM نامیده میشود، رفع کرده است. این آسیبپذیری به مهاجمان غیرمعتبر (unauthenticated attackers) اجازه میداد تا اجرای کد از راه دور (remote code execution) را روی سرور مرکزی (core server) انجام دهند.
نرمافزار Ivanti EPM به مدیران سیستم کمک میکند تا دستگاههای کلاینت که روی پلتفرمهای مختلف مانند Windows، macOS، Chrome OS و سیستمهای عامل اینترنت اشیاء (IoT) اجرا میشوند، مدیریت کنند.
آسیبپذیری امنیتی با شناسه CVE-2024-29847 به دلیل نقص در غیرسریالسازی دادههای غیرقابلاعتماد (deserialization of untrusted data) در پورتال عامل (agent portal) رخ داده است. این مشکل امنیتی در نسخههای hot patches مربوط به نرمافزار Ivanti EPM 2024 و بهروزرسانی خدمات (Service Update 6) برای Ivanti EPM 2022 برطرف شده است.
شرکت Ivanti در اطلاعیهای که امروز منتشر کرده، اعلام کرده است که اگر این آسیبپذیری به طور موفقیتآمیز مورد سوءاستفاده قرار بگیرد (exploitation)، میتواند به دسترسی غیرمجاز به سرور مرکزی (core server) نرمافزار EPM منجر شود.
در حال حاضر، شرکت Ivanti اضافه کرده است که آنها هیچ گزارشی از سوءاستفاده مشتریان از این آسیبپذیریها در زمان افشای آن ندارند. همچنین، هیچ سوءاستفاده عمومی شناختهشدهای از این آسیبپذیری وجود ندارد که بتواند برای ارائه فهرستی از شاخصهای نفوذ (indicators of compromise) مورد استفاده قرار گیرد.
امروز، شرکت Ivanti حدود ۲۴ نقص امنیتی دیگر با شدت بالا و بحرانی را در نرمافزارهای Ivanti EPM، Workspace Control (IWC) و Cloud Service Appliance (CSA) برطرف کرده است. این نقصها پیش از اعمال پچها، در دنیای واقعی مورد سوءاستفاده قرار نگرفته بودند.
در ژانویه، شرکت Ivanti یک آسیبپذیری مشابه از نوع Remote Code Execution (RCE) با شناسه CVE-2023-39336 را در نرمافزار Ivanti EPM برطرف کرد. این آسیبپذیری میتوانست به مهاجمان اجازه دهد تا به سرور مرکزی دسترسی پیدا کنند یا دستگاههای ثبتشده (enrolled devices) را سواستفاده (hijack) کنند.
افزایش تعداد نقصهای رفعشده به دلیل بهبودهای امنیتی است.
Ivanti اعلام کرده است که در ماههای اخیر، اسکن داخلی (internal scanning)، بهرهبرداری دستی (manual exploitation) و قابلیتهای آزمایش (testing capabilities) خود را افزایش داده (escalated) است و همچنین در حال کار بر روی بهبود فرآیند افشای مسئولانه (responsible disclosure process) خود است تا بتواند به مشکلات احتمالی سریعتر رسیدگی کند.
Ivanti بیان کرده است که افزایش در کشف و افشای آسیبپذیریها به دلیل اقدامات اخیر رخ داده است، و Ivanti با بیانیه CISA (آژانس امنیت سایبری و امنیت زیرساختهای ایالات متحده) موافق است که کشف و افشای مسئولانه (responsible discovery and disclosure) آسیبپذیریهای CVE نشانهای از تجزیه و تحلیل و آزمایش کد سالم (healthy code analysis and testing community) است.
این بیانیه پس از سوءاستفاده گسترده از چندین آسیبپذیری صفر روزه (zero-days) Ivanti در سالهای اخیر منتشر شده است. به عنوان مثال، دستگاههای VPN Ivanti از دسامبر ۲۰۲۳ مورد هدف قرار گرفتهاند و از آسیبپذیریهای CVE-2024-21887 و CVE-2023-46805 به عنوان آسیبپذیریهای صفر روزه استفاده شده است.
شرکت همچنین از سومین آسیبپذیری zero-day هشدار داده است که یک نقص درخواست جعلی از سمت سرور (server-side request forgery bug) است و اکنون با شناسه CVE-2024-21893 دنبال میشود. این آسیبپذیری در فوریه مورد سوءاستفاده گسترده قرار گرفته و به مهاجمان این امکان را میدهد که احراز هویت را در دروازههای آسیبپذیر ICS (Industrial Control Systems)، IPS (Intrusion Prevention Systems) و ZTA (Zero Trust Architecture) دور بزنند.
Ivanti اعلام کرده است که بیش از ۷,۰۰۰ شریک در سطح جهانی دارد و بیش از ۴۰,۰۰۰ شرکت از محصولات آن برای مدیریت داراییها و سیستمهای فناوری اطلاعات (IT assets and systems) خود استفاده میکنند.
