Что ни решение Ivanti, то ниже 9 по CVSS не обходится.

На этот раз в очередной серии Ivanti bugs - 27 уязвимостей в продукте Avalanche MDM, конечно же, включая две критические ошибки на борту, приводящие к выполнению команд.

CVE-2024-24996 и CVE-2024-29204 описываются как проблемы переполнения кучи в компонентах WLInfoRailService и WLAvalancheService в MDM-решении.

Обе, как отмечает Ivanti в своем бюллетене, могут быть использованы удаленно, без аутентификации, и имеют оценку CVSS 9,8.

Представленные Ivanti исправления в Avalanche также устраняют многочисленные уязвимости высокой степени серьезности, которые могут позволить удаленным злоумышленникам, не прошедшим проверку подлинности, выполнять команды с системными привилегиями.

Восемь из них описаны как проблемы обхода пути в веб-компоненте Ivanti Avalanche.

Ошибка неограниченной загрузки файлов и две уязвимости состояния гонки (TOCTOU) в веб-компоненте также могут быть использованы для выполнения команд в качестве System.

Еще одна серьезная ошибка переполнения кучи в компоненте WLInfoRailService может быть использована удаленно и без аутентификации для выполнения команд.

Другая не менее серьезная проблема использования после освобождения в WLAvalancheService приводит к удаленному выполнению кода.

Выпущенные обновления также устраняют несколько ошибок высокой степени серьезности, связанных с DoS, и проблемы средней серьезности, позволяющих удаленным злоумышленникам, не прошедшим проверку подлинности, извлекать конфиденциальную информацию из памяти.

Недостаткам подвержены все поддерживаемые версии решения MDM (версии 6.3.1 и выше), включая и более старые версии. 6.4.3 Avalanche содержит исправления.

По данным Ivanti, ни одна из устраненных уязвимостей не использовалась в реальных условиях.

Но верить на слово поставщику со столь «безупречной» репутацией не стоит, такой флеш-рояль явно уже в руках опытных акторов, которые ранее уже эксплуатировали недостатки, для которых были выпущены патчи.