Kritične ranjivost u Ivanti Avalanche MDM
Dana 20. prosinca 2023. godine, tvrtka Ivanti je objavila sigurnosnu obavijest za otklanjanje 13 kritičnih sigurnosnih ranjivosti unutar rješenja za upravljanje mobilnim uređajima (engl. mobile device management - MDM) u poslovnom okruženju, naziva Avalanche.
Rezultirati iskorištavanja ranjivosti su udaljeno izvršavanje kôda (engl. remote code execution - RCE) ili uskraćivanje usluge (engl. Denial of Service - DoS).
Ažuriranja također obuhvaćaju osam (8) ranjivosti srednje i značajne razine rizika koje napadači mogu iskoristiti u DoS, RCE te server-side request forgery (SSRF) napadima. Preporuča se žurno ažuriranje sustava na najnoviju dostupnu inačicu.
Tehnički detalji ključnih ranjivosti otklonjenih ovim ažuriranjem:
Svih 13 kritičnih sigurnosnih ranjivosti, ocjenjeno je CVSS ocjenom 9,8, a iste mogu biti iskorištene od strane udaljenih napadača slanjem posebno oblikovanih podatkovnih paketa Mobile Device Server poslužitelju kako bi izazvali korupciju memorije/prelijevanje međuspremnika (engl. buffer overflow), što može rezultirati uskraćivanjem usluge ili udaljenim izvršenjem kôda.
Trinaest kritičnih ranjivosti je označeno kao: CVE-2023-41727, CVE-2023-46216, CVE-2023-46217, CVE-2023-46220, CVE-2023-46221, CVE-2023-46222, CVE-2023-46223, CVE-2023-46224, CVE-2023-46225, CVE-2023-46257, CVE-2023-46258, CVE-2023-46259 i CVE-2023-46261.
Osam ranjivosti srednje i značajne razine rizika:
-
Ranjivost CVE-2023-46260, CVSS ocjena 7,5, uzrokovana je greškom Null Pointer Dereference, koja prilikom iskorištavanja ranjivosti, može dovesti do uskraćivanja usluge.
-
Ranjivost CVE-2023-46262, CVSS ocjena 7,5, može biti iskorištena od strane neovlaštenog napadača slanjem specifično oblikovanog web zahtjeva zbog SSRF ranjivosti u Ivanti Avalanche Remote Control Server poslužitelju.
-
Ranjivost CVE-2023-46266, CVSS ocjena 7,3, može biti iskorištena od strane napadača slanjem posebno oblikovanog zahtjeva što dovodi do curenja osjetljivih podataka ili potencijalnog napada uskraćivanja usluge temeljenog na resursima (engl. resource-based DoS attack).
-
Ranjivosti CVE-2023-46263 i CVE-2023-46264, obje CVSS ocjena 7,2, omogućuju napadaču udaljeno izvršenja kôda učitavanjem zlonamjernih tipova datoteka u Avalanche.
-
Ranjivosti CVE-2023-46803 i CVE-2023-46804, obje CVSS ocjena 7,5, mogu biti iskorištene od strane napadača slanjem posebno oblikovanih podatkovnih paketa Mobile Device Server poslužitelju kako bi izazvale uskraćivanje usluge (DoS).
-
Ranjivost CVE-2023-46265, CVSS ocjena 6,5, može biti iskorištena od strane neovlaštenog napadača za curenje podataka ili izvođenje SSRF napada na Smart Device Server poslužitelju.
Zahvaćeni proizvodi:
Ranjivosti zahvaćaju verzije Ivanti Avalanche 6.4.1 i 6.4.2, ali prema Ivanti-jevoj sigurnosnoj objavi, ranjivosti vjerojatno zahvaćaju sve verzije Avalanche 6.X.
Preporuke:
Preporuča se žurno ažuriranje sustava na najnoviju dostupnu inačicu.
Više informacija moguće je pročitati na poveznicama u nastavku:
[inicijalna objava: 21.12.2023 - 15:06]