Una vulnerabilidad parcheada en Ivanti Endpoint Manager (EPM), una solución de monitoreo de activos para empresas, podría permitir potencialmente el secuestro de dispositivos administrados. Se recomienda a los usuarios que implementen el parche lo antes posible porque las vulnerabilidades en las soluciones de administración de dispositivos han sido objetivos atractivos para los atacantes en el pasado.
la vulnerabilidad, rastreado como CVE-2023-39336, afecta a EPM 2022 SU4 y todas las versiones anteriores y tiene una puntuación de criticidad de 9,6 sobre 10. Según el aviso de la compañía, se trata de una falla de inyección SQL que permite a los atacantes ubicados en la misma red ejecutar consultas SQL arbitrarias y recuperar resultados sin la necesidad de autenticación del servidor EPM.
La explotación exitosa puede llevar a que los atacantes tomen el control de las máquinas que ejecutan el agente EPM o ejecuten código arbitrario en el servidor si el servidor está configurado con Microsoft SQL Express. De lo contrario, el impacto se aplica a todas las instancias de MSSQL.
Los parches de Ivanti EPM llegan después de las correcciones a su solución EDM
Los parches de EPM se producen después de que la compañía solucionara 20 vulnerabilidades el 20 de diciembre en su solución de gestión de dispositivos móviles (EDM) empresarial Avalanche. Si bien no hay informes de que estas fallas hayan sido atacadas en la naturaleza por ahora, las vulnerabilidades de día cero en los productos de administración de dispositivos de Ivanti ya han sido explotadas antes.
En agosto, Ivanti advirtió a los clientes sobre una falla de omisión de autenticación en su producto Sentry, anteriormente conocido como MobileIron Sentry, una puerta de enlace que protege el tráfico entre dispositivos móviles y sistemas empresariales de back-end. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó posteriormente la vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas. Un mes antes, atacantes patrocinados por el estado explotaron dos vulnerabilidades de día cero (CVE-2023-35078 y CVE-2023-35081) en Ivanti Endpoint Manager Mobile (EPMM), anteriormente conocido como MobileIron Core, para ingresar a las redes del gobierno noruego.
En el pasado, múltiples actores de amenazas de ransomware han explotado vulnerabilidades en el software de administración de dispositivos, incluido Software utilizado por proveedores de servicios gestionados de TI. (MSP) potencialmente impactando a miles de empresas. Debido a sus amplias capacidades y permisos privilegiados en los sistemas, estos agentes de administración pueden actuar como troyanos de acceso remoto si son secuestrados.
