Ivanti waarschuwt klanten voor twee kritieke kwetsbaarheden in haar software. De ene bug is aangetroffen in Ivanti Standalone Sentry, de andere in Ivanti Neuros for ITSM. Voor beide exploits is inmiddels een patch uitgebracht.
Ivanti beschrijft de kwetsbaarheden in twee afzonderlijke blogs.
NAVO vindt bug in Ivanti Standalone Sentry
De eerste exploit is bekend onder de naam CVE-2023-41724. Deze kwetsbaarheid, die werd ontdekt door een security researcher die werkzaam is bij de NAVO, zorgt ervoor dat kwaadwillende en niet-geauthenticeerde aanvallers op afstand een eigen code kunnen uitvoeren via Ivanti Standalone Sentry op het onderliggende besturingssysteem. Dit wordt ook wel Remote Code Execution of RCE genoegd.
Deze kwetsbaarheid in Ivanti Standalone Sentry wordt door de softwareontwikkelaar als ‘kritiek’ aangemerkt. CVE-2023-41724 heeft een CVSS-score van 9,6. ‘CVSS’ staat voor Common Vulnerability Scoring System en geeft de ernst van een kwetsbaarheid aan. Hoe hoger dit getal, des te groter het risico is dat bedrijven lopen.
Kwaadwillenden die deze bug misbruiken, kunnen ernstige schade toebrengen. In een Security Advisory schrijft Ivanti dat er een patch beschikbaar is voor versie 9.17.0, 9.18.0 en 9.19.0. Oudere versies lopen vooralsnog risico door de kwetsbaarheid. De ontwikkelaar adviseert klanten om deze update zo snel mogelijk te installeren. Tot op heden hebben zich nog geen gedupeerden gemeld.
Exploit ontdekt in Ivanti Neuros for ITSM
Ivanti waarschuwt tevens voor een tweede kwetsbaarheid. Het gaat om CVE-2023-46808, die is aangetroffen in Ivanti Neuros for ITSM. Door deze exploit kunnen externe, geverifieerde gebruikers digitale bestanden naar de ITSM-server schrijven. Aanvallers kunnen daardoor van afstand opdrachten uitvoeren op de betreffende webapplicatie. Deze bug heeft een CVSS-score van 9,9 gekregen.
Ook voor deze exploit is een patch beschikbaar voor versies 2023.3, 2023.2 en 2023.1. Ivanti zegt dat er geen bewijs is dat deze kwetsbaarheid tot nu toe is misbruikt en benadrukt dat de bug geen invloed heeft op andere producten van Ivanti. Vanwege de hoge CVSS-score adviseert het bedrijf om de patch zo snel mogelijk te installeren.
Ivanti rolde dit jaar al vaker beveiligingspatches uit
Ivanti heeft dit jaar al meerdere beveiligingsupdates uitgerold. In januari waarschuwde het bedrijf voor twee zeroday-exploits die actief werden misbruikt. Door de kwetsbaarheden konden hackers op afstand authenticatiemechanismen omzeilen en willekeurige code uitvoeren om root-rechten te verkrijgen. De kwetsbaarheden kregen een CVSS-score van 8.0 en 9.1. In de week van 22 januari waren de updates beschikbaar.
In februari rolde Ivanti updates uit voor kwetsbaarheden in Ivanti Connect Secure VPN en Ivanti Policy Secure Gateways. De exploits konden misbruikt worden om de privileges van een gebruiker te verhogen tot die van beheerder en om zonder authenticatie toegang te krijgen tot afgeschermde delen van het bedrijfsnetwerk. De exploits hadden een CVSS-score van 8.8 en 8.2.
