Ivantiは、同社のAvalancheモバイル・デバイス管理(MDM)ソリューションの27の脆弱性を修正するセキュリティ・アップデートをリリースした。
Avalancheは、企業の管理者が、10万台以上のモバイル・デバイスを一元的にリモート管理し、ソフトウェアを展開し、アップデートをスケジュールするために使用される。
同社が水曜日に説明したように、2つの重大なセキュリティ欠陥(CVE-2024-24996とCVE-2024-29204)は、AvalancheのWLInfoRailServiceとWLAvalancheServiceコンポーネントで見つかった。
これらは両方とも、ヒープベースのバッファオーバーフローの弱点に起因するもので、認証されていないリモートの攻撃者が、脆弱なシステム上で、ユーザーによる操作を必要としない複雑度の低い攻撃で、任意のコマンドを実行する可能性があります。
また本日、Ivanti は、リモートの攻撃者がサービス拒否攻撃、SYSTEM としての任意のコマンドの実行、メモリからの機密情報の読み取り、およびリモート・コード実行攻撃のトリガーとして悪用する可能性のある、25 の中規模および高重度のバグにもパッチを適用しました。
「これらの脆弱性が公表される前に悪用された顧客はいません。これらの脆弱性は、当社の責任ある情報公開プログラムを通じて公開されたものです。
「以下のセキュリティ脆弱性に対処するため、Avalancheのインストーラをダウンロードし、最新のAvalanche 6.4.3にアップデートすることを強く推奨します。
顧客は、最新のAvalanche 6.4.3リリースをここで見つけることができ、アップグレード手順の詳細については、このサポート記事を参照してください。
Ivantiは、8月にCVE-2023-32560としてまとめて追跡された他の2つの重大なAvalancheバッファ・オーバーフローを修正した後、12月にAvalanche MDMソリューションのさらに13の重大度リモート・コード実行脆弱性にパッチを適用した。
国家関連のハッカーは、1年前にIvantiのEndpoint Manager Mobile(EPMM、旧称MobileIron Core)の2つのゼロデイ欠陥(CVE-2023-35078およびCVE-2023-35081)を利用して、複数のノルウェー政府組織のネットワークに侵入しました。
その数カ月後、攻撃者は3つ目のMobileIron Coreのゼロデイ(CVE-2023-35081)をCVE-2023-35078と連鎖させ、ノルウェーの12省庁のITシステムにも侵入しました。
「モバイルデバイス管理(MDM)システムは、何千ものモバイルデバイスへの高度なアクセスを提供するため、脅威行為者にとって魅力的な標的であり、APT行為者は以前のMobileIronの脆弱性を悪用しています」と、CISAは昨年8月に警告しています。
「その結果、CISAとNCSC-NOは、政府機関や民間企業のネットワークで悪用が広まる可能性を懸念している。
Comments