Ciberseguridad 360 | Ivanti corrige vulnerabilidad RCE de máxima gravedad en el software Endpoint Management

Ivanti ha corregido una vulnerabilidad de m�xima gravedad en su software Endpoint Management (EPM) que puede permitir a atacantes no autenticados obtener la ejecuci�n remota de c�digo en el servidor central.

Ivanti EPM ayuda a los administradores a gestionar dispositivos cliente que ejecutan varias plataformas, incluidos los sistemas operativos Windows, macOS, Chrome OS e IoT.

La falla de seguridad (CVE-2024-29847) es causada por una debilidad en la deserializaci�n de datos no confiables en el portal del agente que ha sido abordada en los parches Ivanti EPM 2024 e Ivanti EPM 2022 Service Update 6 (SU6).

"Una explotaci�n exitosa podr�a conducir a un acceso no autorizado al servidor central de EPM", dijo la compa��a en un aviso publicado hoy.

Por el momento, Ivanti ha a�adido que "no tiene conocimiento de ning�n cliente que est� siendo explotado por estas vulnerabilidades en el momento de la divulgaci�n. Actualmente, no se conoce ninguna explotaci�n p�blica de esta vulnerabilidad que pueda utilizarse para proporcionar una lista de indicadores de compromiso."

Ayer tambi�n se han corregido casi dos docenas m�s de fallos de gravedad alta y cr�tica en Ivanti EPM, Workspace Control (IWC) y Cloud Service Appliance (CSA) que no hab�an sido explotados in the wild antes de ser parcheados.

En enero, la empresa parche� una vulnerabilidad RCE similar (CVE-2023-39336) en Ivanti EPM que pod�a aprovecharse para acceder al servidor central o secuestrar los dispositivos inscritos.

Fallos corregidos

Ivanti declar� que en los �ltimos meses hab�a incrementado sus capacidades internas de escaneado, explotaci�n manual y pruebas, al tiempo que trabajaba en la mejora de su proceso de divulgaci�n responsable para abordar los posibles problemas con mayor rapidez.

Esto ha provocado un aumento en el descubrimiento y la divulgaci�n, y estamos de acuerdo con la declaraci�n de CISA de que el descubrimiento responsable y la divulgaci�n de CVE es "un signo de an�lisis de c�digo saludable y de la comunidad de pruebas", dijo Ivanti.

Esta declaraci�n se produce despu�s de que en los �ltimos a�os se hayan explotado de forma generalizada varios zero-days de Ivanti. Por ejemplo, los dispositivos VPN de Ivanti han sido blanco de ataques desde diciembre de 2023 utilizando exploits que encadenaban los fallos de inyecci�n de comandos CVE-2024-21887 y de omisi�n de autenticaci�n CVE-2023-46805 como zero-day.

La compa��a tambi�n advirti� de un tercer zero-day (un fallo de falsificaci�n de petici�n del lado del servidor ahora rastreado como CVE-2024-21893) bajo explotaci�n masiva en febrero, permitiendo a los atacantes eludir la autenticaci�n en ICS vulnerables, IPS y puertas de enlace ZTA.

Ivanti afirma que cuenta con m�s de 7.000 socios en todo el mundo y que m�s de 40.000 empresas utilizan sus productos para gestionar sus activos y sistemas inform�ticos.

Fuente: bleepingcomputer