Ivanti releases patches for 13 critical Avalanche RCE flaws
2023/12/20 BleepingComputer — Ivanti の Avalanche MDM (mobile device management) ソリューションで発見された、13件の Critical な脆弱性を修正する、セキュリティ・アップデートがリリースされた。Avalanche を利用する管理者は、センタライズされたロケーションからインターネットを介して、10万台以上ものモバイル・デバイスを管理し、ソフトウェア展開やアップデートのスケジューリングも可能にする。12月20日 (水) に Ivanti が発表したように、これらのセキュリティ欠陥は、WLAvalancheService スタック/ヒープ・バッファオーバーフローに起因するものであり、Tenable のセキュリティ研究者と Trend Micro の ZDI により報告されたものである。
この脆弱性は、未認証の攻撃者による悪用と、ユーザーの操作を必要としない複雑度の攻撃での悪用が可能であり、パッチ未適用のシステム上でリモート・コード実行を引き起こすことが可能だとされる。
Ivanti のセキュリティ・アドバイザリには、「攻撃者が、特別に細工したデータ・パケットをモバイル・デバイス・サーバに送信すると、メモリ破壊が引き起こされ、サービス運用妨害 (DoS) やコード実行につながる可能性がある。この脆弱性に対処するためには、Avalanche のインストーラをダウンロードし、最新の Avalanche 6.4.2 にアップデートすることが、強く推奨される。これらの脆弱性は、Avalanche のバージョン 6.3.1 以上の、すべてのサポート対象製品に影響を及ぼす。また、古いバージョン/リリースも危険である」と記されている。
| CVE-ID | Product Affected / Vulnerability |
| CVE-2023-41727 | Ivanti Avalanche v6.4.1 WLAvalancheService.exe Unauthenticated Buffer Overflows |
| CVE-2023-46216 | Ivanti Avalanche v6.4.1 WLAvalancheService.exe Unauthenticated Buffer Overflows |
| CVE-2023-46217 | Ivanti Avalanche v6.4.1 WLAvalancheService.exe Unauthenticated Buffer Overflows |
| CVE-2023-46220 | Ivanti Avalanche WLAvalancheService Stack-based Buffer Overflow RCE Vulnerability |
| CVE-2023-46221 | Ivanti Avalanche WLAvalancheService Stack-based Buffer Overflow RCE Vulnerability |
| CVE-2023-46222 | Ivanti Avalanche WLAvalancheService Stack-based Buffer Overflow RCE Vulnerability |
| CVE-2023-46223 | Ivanti Avalanche WLAvalancheService Stack-based Buffer Overflow RCE Vulnerability |
| CVE-2023-46224 | Ivanti Avalanche WLAvalancheService Stack-based Buffer Overflow RCE Vulnerability |
| CVE-2023-46225 | Ivanti Avalanche WLAvalancheService Stack-based Buffer Overflow RCE Vulnerability |
| CVE-2023-46257 | Ivanti Avalanche WLAvalancheService Stack-based Buffer Overflow RCE Vulnerability |
| CVE-2023-46258 | Ivanti Avalanche WLAvalancheService Stack-based Buffer Overflow RCE Vulnerability |
| CVE-2023-46259 | Ivanti Avalanche WLAvalancheService Stack-based Buffer Overflow RCE Vulnerability |
| CVE-2023-46260 | Ivanti Avalanche WLAvalancheService Null Pointer Dereference Denial-of-Service Vulnerability |
| CVE-2023-46261 | Ivanti Avalanche WLInfoRailService Heap-based Buffer Overflow RCE Vulnerability |
さらに Ivanti がパッチを適用したバグには、サービス拒否/リモート・コード実行/サーバーサイド・リクエスト・フォージェリ (SSRF) などを引き起こす8件の脆弱性もある。それらの脆弱性の危険度は、High/Medium と評価されている。
今回の全てのセキュリティ脆弱性は、Avalanche v6.4.2.313 で修正されている。Avalanche インストールのアップグレードに関する追加情報は、この Ivanti サポート記事を参照してほしい。
2023年8月にも Ivanti は、脆弱性 CVE-2023-32560 として追跡される、2件の深刻な Avalanche バッファ・オーバーフローを修正している。その悪用に成功した攻撃者は、クラッシュおよび任意のコード実行を引き起こす可能性がある。
また、2023年7月には、MobileIron Core のゼロデイ CVE-2023-35081 を、脆弱性 CVE-2023-35078 と連鎖させ、ノルウェー政府の 12の組織の IT システムに侵入するという、脅威アクターも登場していた。
その4カ月前の4月には、国家に支援されるハッカー集団が、Ivanti の EPMM (Endpoint Manager Mobile:旧 MobileIron Core) の2件ゼロデイ脆弱性 CVE-2023-35078/CVE-2023-35081 を悪用して、ノルウェー政府の複数のネットワークに侵入していた。
その時点で米国の CISA は、「この MDM システムは、何千台ものモバイル・デバイスへの高度なアクセスを提供するため、脅威アクターたちにとって魅力的な標的であり、APT アクターたちは以前から MobileIron の脆弱性を悪用してきた。その結果として、CISA と NCSC-NO は、政府機関や民間企業のネットワークでの悪用が広まる可能性を懸念している」と述べていた。
Ivanti の Avalanche MDM に大量の脆弱性です。ベンダー・アドバイザリを確認すると、Critical と評価される脆弱性が 13件もあるという状況が分かります。ご利用のチームは、6.4.2 へのアップデートをお急ぎください。よろしければ、Ivanti で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.