Ivanti đã phát hành các bản cập nhật phần mềm để giải quyết nhiều lỗi bảo mật ảnh hưởng đến Endpoint Manager (EPM), bao gồm 10 lỗ hổng nghiêm trọng có thể dẫn đến việc thực thi mã từ xa.
Một mô tả ngắn gọn về các vấn đề như sau -
- CVE-2024-29847 (điểm CVSS: 10.0) - Loại bỏ lỗ hổng dữ liệu không đáng tin cậy cho phép kẻ tấn công không được xác thực từ xa đạt được việc thực thi mã.
- CVE-2024-32840, CVE-2024-32842, CVE-2024-32843, CVE-2024-32845, CVE-2024-32846, CVE-2024-32848, CVE-2024-34779, CVE-2024-34783 và CVE-2024-34785 (điểm CVSS: 9.1) - Nhiều lỗ hổng SQL injection không xác định cho phép kẻ tấn công được xác thực từ xa với đặc quyền quản trị để đạt được thực thi mã từ xa
Các lỗ hổng ảnh hưởng đến các phiên bản EPM 2024 và 2022 SU5 trở về trước, với các bản sửa lỗi được cung cấp lần lượt trong các phiên bản 2024 SU1 và 2022 SU6.
Ivanti cho biết họ không tìm thấy bằng chứng về các lỗ hổng được khai thác trong tự nhiên như một zero-day, nhưng điều cần thiết là người dùng phải cập nhật lên phiên bản mới nhất để bảo vệ chống lại các mối đe dọa tiềm ẩn.
Cũng được giải quyết như một phần của bản cập nhật tháng Chín là bảy thiếu sót nghiêm trọng cao trong Ivanti Workspace Control (IWC) và Ivanti Cloud Service Appliance (CSA).
Công ty cho biết họ đã tăng cường khả năng quét nội bộ, khai thác và thử nghiệm thủ công, đồng thời cải tiến quy trình tiết lộ có trách nhiệm để nhanh chóng phát hiện và giải quyết các vấn đề tiềm ẩn.
"Điều này đã gây ra sự gia tăng đột biến trong việc phát hiện và tiết lộ", công ty lưu ý.
Sự phát triển này diễn ra sau hậu quả của việc khai thác rộng rãi trong tự nhiên một số thiết bị zero-day trong các thiết bị của Ivanti, bao gồm cả các nhóm gián điệp mạng có mối quan hệ với Trung Quốc để vi phạm các mạng lưới lợi ích.
Nó cũng xuất hiện khi Zyxel xuất xưởng các bản sửa lỗi cho lỗ hổng tiêm lệnh hệ điều hành (OS) quan trọng (CVE-2024-6342, điểm CVSS: 9,8) trong hai thiết bị lưu trữ gắn mạng (NAS) của mình.
"Một lỗ hổng tiêm lệnh trong chương trình xuất cgi của các thiết bị Zyxel NAS326 và NAS542 có thể cho phép kẻ tấn công chưa được xác thực thực hiện một số lệnh hệ điều hành (OS) bằng cách gửi yêu cầu HTTP POST được tạo thủ công", công ty cho biết trong một cảnh báo.