Ivanti hat Sicherheitsupdates veröffentlicht, um eine kritische Schwachstelle in seiner Endpoint Manager (EPM)-Lösung zu beheben. Diese Schwachstelle könnte, wenn sie erfolgreich ausgenutzt wird, zu einer Remote Code Execution (RCE) auf anfälligen Servern führen. Die Schwachstelle, die als ${match} verfolgt wird, hat eine Bewertung von 9,6 von 10 auf der CVSS-Score-Skala erhalten. Das Manko betrifft EPM 2021 und EPM 2022 vor SU5.
Ivanti erklärte in einem Beratungsblatt: „Wenn ausgenutzt, kann ein Angreifer mit Zugriff auf das interne Netzwerk eine nicht näher spezifizierte SQL-Injektion nutzen, um beliebige SQL-Abfragen auszuführen und Ausgaben ohne Authentifizierung abzurufen. Dies kann dem Angreifer die Kontrolle über Maschinen ermöglichen, auf denen der EPM-Agent ausgeführt wird. Bei Konfiguration des Kernservers zur Verwendung von SQL Express kann dies zu RCE auf dem Kernserver führen.“
Die Offenlegung erfolgte Wochen nachdem das Unternehmen fast zwei Dutzend Sicherheitslücken in seiner Enterprise Mobile Device Management (MDM)-Lösung Avalanche behoben hatte. Von den 21 Problemen wurden 13 als kritisch eingestuft und als nicht authentifizierte Pufferüberläufe charakterisiert. Sie wurden in Avalanche 6.4.2 gepatcht. Ivanti erklärte: „Ein Angreifer, der speziell gestaltete Datenpakete an den mobilen Geräteserver sendet, kann eine Speicherbeschädigung verursachen, die zu einer Denial-of-Service (DoS) oder Codeausführung führen könnte.“
Obwohl es keine Hinweise darauf gibt, dass diese genannten Schwachstellen in freier Wildbahn ausgenutzt wurden, haben staatlich unterstützte Akteure in der Vergangenheit Zero-Day-Schwachstellen (${match} und ${match}) in Ivanti Endpoint Manager Mobile (EPMM) ausgenutzt, um in die Netzwerke mehrerer norwegischer Regierungsorganisationen einzudringen. Einen Monat später wurde eine weitere kritische Schwachstelle in dem Produkt Ivanti Sentry (${match}, CVSS-Score: 9,8) als Zero-Day aktiv ausgenutzt.