Kritične ranjivost u Ivanti Avalanche MDM
Dana 20. prosinca 2023. godine, tvrtka Ivanti je objavila sigurnosnu obavijest za otklanjanje 13 kritičnih sigurnosnih ranjivosti unutar rješenja za upravljanje mobilnim uređajima (engl. mobile device management - MDM) u poslovnom okruženju, naziva Avalanche.
Rezultirati iskorištavanja ranjivosti su udaljeno izvršavanje kôda (engl. remote code execution - RCE) ili uskraćivanje usluge (engl. Denial of Service - DoS).
Ažuriranja također obuhvaćaju osam (8) ranjivosti srednje i značajne razine rizika koje napadači mogu iskoristiti u DoS, RCE te server-side request forgery (SSRF) napadima. Preporuča se žurno ažuriranje sustava na najnoviju dostupnu inačicu.
Tehnički detalji ključnih ranjivosti otklonjenih ovim ažuriranjem:
Svih 13 kritičnih sigurnosnih ranjivosti, ocjenjeno je CVSS ocjenom 9,8, a iste mogu biti iskorištene od strane udaljenih napadača slanjem posebno oblikovanih podatkovnih paketa Mobile Device Server poslužitelju kako bi izazvali korupciju memorije/prelijevanje međuspremnika (engl. buffer overflow), što može rezultirati uskraćivanjem usluge ili udaljenim izvršenjem kôda.
Trinaest kritičnih ranjivosti je označeno kao: CVE-2023-41727, CVE-2023-46216, CVE-2023-46217, CVE-2023-46220, CVE-2023-46221, CVE-2023-46222, CVE-2023-46223, CVE-2023-46224, CVE-2023-46225, CVE-2023-46257, CVE-2023-46258, CVE-2023-46259 i CVE-2023-46261.
Osam ranjivosti srednje i značajne razine rizika:
- Ranjivost CVE-2023-46260, CVSS ocjena 7,5, uzrokovana je greškom Null Pointer Dereference, koja prilikom iskorištavanja ranjivosti, može dovesti do uskraćivanja usluge.
- Ranjivost CVE-2023-46262, CVSS ocjena 7,5, može biti iskorištena od strane neovlaštenog napadača slanjem specifično oblikovanog web zahtjeva zbog SSRF ranjivosti u Ivanti Avalanche Remote Control Server poslužitelju.
- Ranjivost CVE-2023-46266, CVSS ocjena 7,3, može biti iskorištena od strane napadača slanjem posebno oblikovanog zahtjeva što dovodi do curenja osjetljivih podataka ili potencijalnog napada uskraćivanja usluge temeljenog na resursima (engl. resource-based DoS attack).
- Ranjivosti CVE-2023-46263 i CVE-2023-46264, obje CVSS ocjena 7,2, omogućuju napadaču udaljeno izvršenja kôda učitavanjem zlonamjernih tipova datoteka u Avalanche.
- Ranjivosti CVE-2023-46803 i CVE-2023-46804, obje CVSS ocjena 7,5, mogu biti iskorištene od strane napadača slanjem posebno oblikovanih podatkovnih paketa Mobile Device Server poslužitelju kako bi izazvale uskraćivanje usluge (DoS).
- Ranjivost CVE-2023-46265, CVSS ocjena 6,5, može biti iskorištena od strane neovlaštenog napadača za curenje podataka ili izvođenje SSRF napada na Smart Device Server poslužitelju.
Zahvaćeni proizvodi:
Ranjivosti zahvaćaju verzije Ivanti Avalanche 6.4.1 i 6.4.2, ali prema Ivanti-jevoj sigurnosnoj objavi, ranjivosti vjerojatno zahvaćaju sve verzije Avalanche 6.X.
Preporuke:
Preporuča se žurno ažuriranje sustava na najnoviju dostupnu inačicu.
Više informacija moguće je pročitati na poveznicama u nastavku:
- https://forums.ivanti.com/s/article/Avalanche-6-4-2-Security-Hardening-and-CVEs-addressed?language=en_US
- https://www.bleepingcomputer.com/news/security/ivanti-releases-patches-for-13-critical-avalanche-rce-flaws/
[inicijalna objava: 21.12.2023 - 15:06]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
- Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
- Smjernice za postupanje s neklasificiranim podacima
- Pravilnik o standardima sigurnosti neklasificiranih informacijskih sustava