Ivanti Patches Critical Code Execution Vulnerabilities in Endpoint Manager
2024/05/22 SecurityWeek — 5月21日 (火) に Ivanti が発表したのは、Endpoint Manager (EPM) に存在する深刻な脆弱性の修正を含む、いくつかの製品に対するパッチである。Ivanti によると、EPM で解決された 10件のセキュリティ欠陥のうち 6件は、深刻な SQL インジェクションのバグであり、ネットワーク上の認証されていない攻撃者に、任意のコード実行を許す可能性があるという。それらの脆弱性 CVE-2024-29822 〜 CVE-2024-29827 (CVSS:9.6) は、Ivanti EPM 2022 SU5 以前のリリースの、Core サーバに影響を及ぼすものである。
すでに Ivanti は、EPM 2022 SU5 のホットフィックスをリリースし、アップデートの詳細な方法についても、顧客に情報を提供している。これらのバグに対するパッチは、EPM の将来のバージョンにも含まれる予定だという。
今回のホットフィックスは、EPM 2022 SU5 以前のリリースに存在する、SQL インジェクションの脆弱性4件を解決するものである。いずれも、ネットワークから認証を必要とせずに、任意のコード実行に悪用される可能性があり、深刻度は High である。
さらに Ivanti は、Ivanti Avalanche の Web コンポーネントに存在する、深刻度の高い無制限ファイル・アップロードのバグに対するパッチも発表している。
Ivanti は、「Avalanche インストーラをダウンロードし、最新の Avalanche 6.4.3.602 にアップデートすることを強く推奨する。このインストールにより、1件の CVE に対する修正が適用されるが、それに加えて、以前にリリースされた CVE 修正と、セキュリティ強化も提供される」と指摘している。
それらのパッチが対応するのは、Neurons for ITSM の SQL インジェクション/無制限ファイル・アップロードの脆弱性、および、Connect Secure の CRLF インジェクションの脆弱性、Windows 用 Secure Access クライアントにおける2件のローカル権限昇格の脆弱性である。Ivanti によると、一連の脆弱性が攻撃に悪用された形跡はなく、また、他の製品には影響が及ばないという。
Ivanti EPM に存在する6件の脆弱性 CVE-2024-29822 〜 CVE-2024-29827 (CVSS:9.6) は、いずれも SQL インジェクションのバグとのことです。悪用されると、ネットワーク上の認証されていない攻撃者に、任意のコード実行を許す可能性があるようなので、ご利用のチームは、ご注意ください。よろしければ、Ivanti EPM で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.