Ivanti waarschuwt gebruikers van zijn Endpoint Management-dienst voor een ernstige kwetsbaarheid waarmee het mogelijk was om op afstand een machine over te nemen zonder authenticatie. Inmiddels is er een patch uit voor de bug.
Ivanti trackt de bug als CVE-2023-39336. Die krijgt een CVSS-score van 9,6. Het bedrijf zegt in een blogpost dat het geen aanwijzingen heeft dat klanten door de bug zijn getroffen, maar raadt klanten wel aan hun software bij te werken. Een patch voor de bug is meegestuurd in Ivanti EPM 2022 Service Update 5.
Voor een succesvolle aanval moet een aanvaller eerst toegang hebben tot een intern netwerk. Zodra die toegang er is, kan de aanvaller via een niet verder beschreven SQL-injectie nieuwe SQL-query's uitvoeren. Zo is het bijvoorbeeld mogelijk om data van een server uit te filteren.
Met die commando's zou het ook mogelijk zijn om apparaten waar Ivanti's Endpoint Manager-software op draaide, over te nemen. Als de coreserver SQL had ingeschakeld, kon een aanvaller ook die server overnemen. Volgens Ivanti was het mogelijk die acties uit te voeren zonder dat er verdere gebruikersauthenticatie nodig was.
Het is de tweede keer in relatief korte tijd dat Ivanti in het nieuws komt vanwege een ernstige kwetsbaarheid. Dat gebeurde ook in juli vorig jaar. Toen bleek dat systemen van de Noorse overheid waren gehackt door middel van een zeroday in Ivanti's mobiele EPM. Ook daarbij was het mogelijk om een aanval zonder authenticatie uit te voeren.
Source: Tweakers.net