Ivantiは、主力のAvalancheモバイルデバイス管理(MDM)製品向けに新たな製品アップデートをリリースし、重大なバグ2件を含む27件の脆弱性を修正した。
同セキュリティベンダーは、現時点でこれらの脆弱性が実環境で積極的に悪用されていることは把握していないと述べた。 しかし、重大な脆弱性2件はリモートコード実行(RCE)につながる可能性がある。
CVE-2024-24996は、製品のWLInfoRailServiceコンポーネントにおけるヒープオーバーフローとして説明されており、CVE-2024-29204はWLAvalancheServiceコンポーネントにおけるヒープオーバーフローのバグである。いずれも、認証不要のリモート攻撃者が任意のコマンドを実行できる可能性があるため、CVSSスコアは9.8と評価されている。
Avalancheは、大規模組織のIT管理者が、最大で10万台超のデバイスを含み得る大規模展開を中央集権的に管理できるよう設計されている。そのため攻撃者にとって魅力的な標的となり得るが、Ivantiは、今回列挙された脆弱性は最近のところ積極的な悪用下にはないと主張した。
このアップデートで修正された残り25件のCVEは、主にパストラバーサルおよびアウト・オブ・バウンズ読み取りの脆弱性で、CVSSスコアは5.3から8.8の範囲となっている。
「Avalanche 6.4.3では、2024年第1四半期リリースにおいて、新たなセキュリティ強化および脆弱性への対応を行いました。開示時点で、これらの脆弱性が悪用されていることは把握していません」と、アドバイザリは指摘している。
「以下に記載のセキュリティ脆弱性に対処するため、Avalancheインストーラーをダウンロードし、最新のAvalanche 6.4.3へアップデートすることを強く推奨します。」
Ivantiは2023年12月にも、Avalancheの別の重大な脆弱性13件を修正している。
同ベンダーの製品は、この1年ほどの間、国家支援が疑われる脅威アクターにとって格好の標的となってきた。
以前MobileIron Coreとして知られていたIvanti Endpoint Manager(EPMM)のゼロデイ脆弱性2件は、2023年1月に中国の脅威アクターによって悪用され、ノルウェー政府の12省庁が侵害された。
Ivantiのパッチに関する詳細: ノルウェー攻撃で使用されたゼロデイバグをIvantiが修正
その後、およそ1年後に同社は、Connect Secure VPN製品およびPolicy Secureネットワークアクセス制御(NAC)製品群を侵害することを目的とした中国の攻撃で、さらに3件のゼロデイが連鎖的に利用されていることを明らかにした。
一部の保険会社は、特定のIvanti製品を運用している場合、加入希望者に対して特定の緩和策の実施を現在求めていると主張している。
翻訳元: https://www.infosecurity-magazine.com/news/ivanti-patches-two-critical/
