Ivanti warns of critical flaws in its Avalanche MDM solution
2024/04/16 BleepingComputer — Ivanti が 4月16日にリリースしたのは、同社の MDM (mobile device management) ソリューション Avalanche に存在する、27件の脆弱性を修正するセキュリティ更新プログラムである。Avalanche を使用する企業の管理者たちは、センタライズされた単一のロケーションからリモートで、100,000 台以上のモバイル・デバイスで構成される、大規模な集団を横断するかたちで管理し、ソフトウェアを展開し、アップデートをスケジューリングできる。
修正された脆弱性のうちで深刻なものは、Avalanche の WLInfoRailService/WLAvalancheService コンポーネントで発見された、CVE-2024-24996/CVE-2024-29204 (CVSS:9.8) である。
これら2つの脆弱性は、ヒープバッファ・オーバーフローの欠陥に起因する。悪用に成功した、認証されていないリモートの攻撃者は、脆弱なシステム上で、ユーザーによる操作を必要としない複雑度の低い攻撃で、任意のコマンドを実行する可能性を持つ。
他にも Ivanti は、25 件の重要度 High/Medium の脆弱性 にパッチを適用した。これらの脆弱性の悪用に成功したリモートの攻撃者は、サービス拒否攻撃/SYSTEM としての任意のコマンド実行/メモリからの機密情報の読み取り/リモート・コード実行攻撃などを実行する可能性がある。
Ivanti のアドバイザリには、「これらの脆弱は、当社の責任ある情報公開プログラムを通じて公開された、また、情報が公表される前の時点において悪用は確認されていない。ユーザーに対して強く推奨されるのは、これらのセキュリティ脆弱性に対処するために、Avalanche のインストーラをダウンロードし、最新の Avalanche 6.4.3 にアップデートすることだ」と記されている。
最新の Avalanche 6.4.3 リリースは、ココから入手できる。アップグレード手順については、Ivanti のサポート記事で確認できる。
Ivanti Avalanche に関しては、2023年8月にも、2つの深刻なバッファ・オーバーフローの脆弱性 CVE-2023-32560 が修正されている。さらに 2023年 12月には、Avalanche MDM ソリューションにおける、13件の深刻なリモート・コード実行の脆弱性にパッチが当てられた。
2023年7月には、国家支援のハッカーたちが Ivanti の Endpoint Manager Mobile (EPMM、旧称 MobileIron Core) の2つのゼロデイ脆弱性 CVE-2023-35078/CVE-2023-35081 を悪用して、複数のノルウェー政府組織のネットワークに侵入するというインシデントが発生した。
その数カ月後に攻撃者は、Ivanti EPMM (MobileIron Core) の3つ目のゼロデイ脆弱性 CVE-2023-35081 を CVE-2023-35078 と連鎖させ、ノルウェーの 12省庁の IT システムに侵入している。
2023年8月に CISA は、「モバイルデバイス管理 (MDM:Mobile device management)システムは、何千ものモバイル・デバイスへの高度なアクセスを提供するため、攻撃者にとっては魅力的なターゲットになる。APT グループは、以前のMobileIron の脆弱性を悪用している。CISA と NCSC-NO は、政府や民間企業のネットワークで悪用が広まる可能性を懸念している」と警告している。
Ivanti から、大量の脆弱性情報が提供されました。このところ、サーバー攻撃の標的にされ続けている同社だけに、速やかにパッチが適用され、これ以上被害者が増えないでしょしいと思います。よろしければ、Ivanti で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.