Ivanti ha lanzado correcciones para abordar múltiples fallos de seguridad críticos en Endpoint Manager (EPM), que podrían ser explotados para lograr la ejecución remota de código en ciertas circunstancias.
Seis de las 10 vulnerabilidades, desde CVE-2024-29822 hasta CVE-2024-29827 (puntuaciones CVSS: 9.6), están relacionadas con fallas de inyección SQL que permiten a un atacante no autenticado dentro de la misma red ejecutar código arbitrario.
Las otras cuatro fallas – CVE-2024-29828, CVE-2024-29829, CVE-2024-29830 y CVE-2024-29846 (puntuaciones CVSS: 8.4) – también caen dentro de la misma categoría, pero requieren que el atacante esté autenticado.
Las deficiencias afectan al servidor Core de las versiones 2022 SU5 y anteriores de Ivanti EPM.
Además, se han enviado parches para otras cinco vulnerabilidades de alta gravedad: una inyección SQL (CVE-2024-22059) y un error de carga de archivo no restringido (CVE-2024-22060) en Neurons para ITSM, un fallo de inyección CRLF en Connect Secure (CVE-2023-38551) y dos problemas de escalada de privilegios locales en el cliente Secure Access para Windows (CVE-2023-38042) y Linux (CVE-2023-46810).
Ivanti subrayó que no hay evidencia de que las fallas hayan sido explotadas en la naturaleza o que hayan sido «introducidas maliciosamente en nuestro proceso de desarrollo de código» a través de un ataque de la cadena de suministro.
Esto ocurre a medida que se revelaron detalles sobre una falla crítica en la versión de código abierto del motor de orquestación y ejecución de Big Data federado Genie, desarrollado por Netflix (CVE-2024-4701, puntuación CVSS: 9.9) que podría llevar a la ejecución remota de código.
Descrita como una vulnerabilidad de traversía de ruta, la deficiencia podría explotarse para escribir un archivo arbitrario en el sistema de archivos y ejecutar código arbitrario. Afecta a todas las versiones del software anteriores a la 4.3.18.
El problema se debe al hecho de que la API REST de Genie está diseñada para aceptar un nombre de archivo suministrado por el usuario como parte de la solicitud, lo que permite a un actor malintencionado crear un nombre de archivo de manera que pueda salirse de la ruta de almacenamiento de archivo predeterminada y escribir un archivo con cualquier nombre especificado por el usuario en una ruta especificada por el actor.
«Los usuarios de Genie OSS que ejecutan su propia instancia y confían en el sistema de archivos para almacenar archivos adjuntos presentados a la aplicación de Genie pueden verse afectados,» señalaron los mantenedores en un aviso.
«Usando esta técnica, es posible escribir un archivo con cualquier nombre y contenido especificados por el usuario en cualquier ubicación del sistema de archivos a la que el proceso Java tenga acceso de escritura, lo que potencialmente podría llevar a la ejecución remota de código (RCE).»
Dicho esto, los usuarios que no almacenan los archivos adjuntos localmente en el sistema de archivos subyacente no son susceptibles a este problema.
«Si tiene éxito, un ataque de este tipo podría engañar a una aplicación web para que lea y exponga consecuentemente los contenidos de archivos fuera del directorio raíz del documento de la aplicación o el servidor web, incluidas credenciales para sistemas de backend, código y datos de la aplicación, y archivos de sistema operativo sensibles,» dijo el investigador de seguridad Joseph Beeton de Contrast Security.
A principios de este mes, el gobierno de EE.UU. advirtió sobre intentos continuos de actores amenazantes para explotar defectos de traversía de directorio en software para comprometer objetivos, instando a los desarrolladores a adoptar un enfoque seguro por diseño para eliminar tales fallas de seguridad.
«Incorporar esta mitigación de riesgos desde el principio, comenzando en la fase de diseño y continuando a través del lanzamiento y las actualizaciones del producto, reduce tanto la carga de la ciberseguridad en los clientes como el riesgo para el público,» dijo el gobierno.
El anuncio también llega después de varias vulnerabilidades (CVE-2023-5389 y CVE-2023-5390) en el Controlador de Operaciones de Unidad Edge (UOC) de Honeywell que pueden resultar en la ejecución remota de código no autenticada.
«Un atacante que ya se encuentra en una red OT utilizaría un paquete de red malicioso para explotar esta vulnerabilidad y comprometer el controlador virtual,» dijo Claroty. «Este ataque podría llevarse a cabo de forma remota para modificar archivos, lo que resultaría en el control total del controlador y la ejecución de código malicioso.»
Vía The Hacker News
