Ivanti, una empresa de software de gestión empresarial, ha emitido actualizaciones de seguridad urgentes para su herramienta Ivanti Endpoint Manager, dirigida a solucionar una serie de vulnerabilidades, entre ellas, algunas que podrían permitir la ejecución remota de código (RCE). Estas vulnerabilidades, algunas de gravedad alta y crítica, podrían permitir a los atacantes obtener acceso no autorizado a los sistemas, lo que podría desencadenar filtraciones de datos y disrupciones operacionales. A continuación, se detallan las vulnerabilidades más críticas identificadas en la última actualización de seguridad de Ivanti de acuerdo a su CVE y CVSS (Common Vulnerability Scoring System).
- CVE-2024-50330 (CVSS 9.8): La vulnerabilidad más crítica es una falla de inyección SQL que podría permitir a un atacante remoto no autenticado ejecutar código de forma remota (RCE). Esta vulnerabilidad es de alta gravedad y representa un riesgo significativo para los usuarios de Ivanti Endpoint Manager.
- CVE-2024-50329 (CVSS 8.8): Una vulnerabilidad de recorrido de ruta (path traversal) que podría permitir a un atacante remoto no autenticado ejecutar código, aunque esta vulnerabilidad requiere interacción del usuario. La clasificación CVSS de 8.8 refleja su gravedad y el riesgo de explotación.
Categorías de las vulnerabilidades abordadas
- 1 vulnerabilidad de ejecución remota de código (RCE) debido a inyección SQL.
- 4 vulnerabilidades de recorrido de ruta (path traversal) que permiten ejecución remota de código (RCE).
- 13 vulnerabilidades de inyección SQL que permiten ejecución remota de código (RCE) para atacantes autenticados con privilegios de administrador.
Vulnerabilidades importantes abordadas
A continuación, se muestra la lista de vulnerabilidades que Ivanti considera importante.
CVE | CVSS | Tipo de vulnerabilidad | Descripción breve |
CVE-2024-34787 | 7.8 | Salto de directorio | Vulnerabilidad que permite el acceso a directorios restringidos, facilitando el acceso no autorizado a archivos sensibles. |
CVE-2024-50322 | 7.8 | Salto de directorio | Permite a atacantes navegar fuera del directorio permitido, accediendo a archivos o directorios restringidos. |
CVE-2024-50323 | 7.8 | Inyección SQL | Permite a atacantes ejecutar comandos SQL maliciosos en la base de datos, comprometiendo la integridad de los datos. |
CVE-2024-50328 | 7.2 | Inyección SQL | Inyección SQL que posibilita la manipulación de consultas a la base de datos, generando riesgo de acceso no autorizado. |
CVE-2024-50327 | 7.2 | Inyección SQL | Facilita la ejecución de comandos SQL no autorizados, comprometiendo datos y funcionalidades del sistema. |
CVE-2024-50326 | 7.2 | Inyección SQL | Riesgo de manipulación de datos a través de inyecciones SQL, afectando la seguridad de la información. |
CVE-2024-50324 | 7.2 | Salto de directorio | Permite acceso no autorizado a archivos en directorios restringidos mediante manipulación de rutas. |
CVE-2024-34784 | 7.2 | Inyección SQL | Posibilita inyecciones SQL que comprometen la integridad de la base de datos al permitir comandos maliciosos. |
CVE-2024-34782 | 7.2 | Inyección SQL | Inyección SQL que permite a un atacante manipular o acceder a datos sensibles sin autorización. |
Ivanti ha publicado una actualización de seguridad en noviembre para abordar estas vulnerabilidades en las versiones 2024 y 2022 SU6 de Ivanti Endpoint Manager.
Recomendaciones
- Actualizar a la versión más reciente de Ivanti Endpoint Manager para corregir las vulnerabilidades identificadas.
- Implementar medidas de control de acceso para restringir el uso de privilegios elevados a usuarios confiables.
- Mantener una vigilancia constante sobre los sistemas afectados y realizar auditorías de seguridad periódicas para detectar posibles intentos de explotación.
Referencias :
- https://forums.ivanti.com/s/article/Security-Advisory-EPM-November-2024-for-EPM-2024-and-EPM-2022?language=en_US
- https://securityonline.info/cve-2024-50330-cvss-9-8-unpatched-ivanti-endpoint-manager-vulnerable-to-rce-attacks/
- https://www.cve.org/CVERecord?id=CVE-2024-50330
- https://www.cve.org/CVERecord?id=CVE-2024-50329