Ivanti Endpoint Manager Vulnerable a Ataques de Ejecución Remota de Código (RCE).

Ivanti, una empresa de software de gestión empresarial, ha emitido actualizaciones de seguridad urgentes para su herramienta Ivanti Endpoint Manager, dirigida a solucionar una serie de vulnerabilidades, entre ellas, algunas que podrían permitir la ejecución remota de código (RCE). Estas vulnerabilidades, algunas de gravedad alta y crítica, podrían permitir a los atacantes obtener acceso no autorizado a los sistemas, lo que podría desencadenar filtraciones de datos y disrupciones operacionales. A continuación, se detallan las vulnerabilidades más críticas identificadas en la última actualización de seguridad de Ivanti de acuerdo a su CVE y CVSS (Common Vulnerability Scoring System).

  • CVE-2024-50330 (CVSS 9.8): La vulnerabilidad más crítica es una falla de inyección SQL que podría permitir a un atacante remoto no autenticado ejecutar código de forma remota (RCE). Esta vulnerabilidad es de alta gravedad y representa un riesgo significativo para los usuarios de Ivanti Endpoint Manager.
  • CVE-2024-50329 (CVSS 8.8): Una vulnerabilidad de recorrido de ruta (path traversal) que podría permitir a un atacante remoto no autenticado ejecutar código, aunque esta vulnerabilidad requiere interacción del usuario. La clasificación CVSS de 8.8 refleja su gravedad y el riesgo de explotación.

Categorías de las vulnerabilidades abordadas

  • 1 vulnerabilidad de ejecución remota de código (RCE) debido a inyección SQL.
  • 4 vulnerabilidades de recorrido de ruta (path traversal) que permiten ejecución remota de código (RCE).
  • 13 vulnerabilidades de inyección SQL que permiten ejecución remota de código (RCE) para atacantes autenticados con privilegios de administrador.

Vulnerabilidades importantes abordadas

A continuación, se muestra la lista de vulnerabilidades que Ivanti considera importante.

CVECVSSTipo de vulnerabilidadDescripción breve
CVE-2024-347877.8Salto de directorioVulnerabilidad que permite el acceso a directorios restringidos, facilitando el acceso no autorizado a archivos sensibles.
CVE-2024-503227.8Salto de directorioPermite a atacantes navegar fuera del directorio permitido, accediendo a archivos o directorios restringidos.
CVE-2024-503237.8Inyección SQLPermite a atacantes ejecutar comandos SQL maliciosos en la base de datos, comprometiendo la integridad de los datos.
CVE-2024-503287.2Inyección SQLInyección SQL que posibilita la manipulación de consultas a la base de datos, generando riesgo de acceso no autorizado.
CVE-2024-503277.2Inyección SQLFacilita la ejecución de comandos SQL no autorizados, comprometiendo datos y funcionalidades del sistema.
CVE-2024-503267.2Inyección SQLRiesgo de manipulación de datos a través de inyecciones SQL, afectando la seguridad de la información.
CVE-2024-503247.2Salto de directorioPermite acceso no autorizado a archivos en directorios restringidos mediante manipulación de rutas.
CVE-2024-347847.2Inyección SQLPosibilita inyecciones SQL que comprometen la integridad de la base de datos al permitir comandos maliciosos.
CVE-2024-347827.2Inyección SQLInyección SQL que permite a un atacante manipular o acceder a datos sensibles sin autorización.

Ivanti ha publicado una actualización de seguridad en noviembre para abordar estas vulnerabilidades en las versiones 2024 y 2022 SU6 de Ivanti Endpoint Manager.

Recomendaciones

  • Actualizar a la versión más reciente de Ivanti Endpoint Manager para corregir las vulnerabilidades identificadas.
  • Implementar medidas de control de acceso para restringir el uso de privilegios elevados a usuarios confiables.
  • Mantener una vigilancia constante sobre los sistemas afectados y realizar auditorías de seguridad periódicas para detectar posibles intentos de explotación.

Referencias :