Ivanti heeft een kwetsbaarheid met maximale ernst in zijn Endpoint Management-software (EPM) verholpen die ongeauthenticeerde aanvallers in staat kan stellen om op afstand code uit te voeren op de core-server.

Ivanti EPM helpt beheerders om clientapparaten te beheren die verschillende platforms draaien, waaronder Windows, macOS, Chrome OS en IoT-besturingssystemen.

Het beveiligingslek (CVE-2024-29847) wordt veroorzaakt door een zwakte in deserialisatie van niet-vertrouwde gegevens in de agent-portal, die is aangepakt in Ivanti EPM 2024 hot patches en Ivanti EPM 2022 Service Update 6 (SU6).

“Succesvolle exploitatie kan leiden tot ongeautoriseerde toegang tot de EPM-core-server,” zei het bedrijf in een vandaag gepubliceerde advies.

Voorlopig voegde Ivanti eraan toe dat ze “niet op de hoogte zijn van klanten die door deze kwetsbaarheden zijn geëxploiteerd op het moment van openbaarmaking. Momenteel is er geen bekende openbare exploitatie van deze kwetsbaarheid die kan worden gebruikt om een lijst met compromitteringsindicatoren te verstrekken.”

Vandaag heeft het ook bijna twee dozijn meer kwetsbaarheden van hoge en kritieke ernst verholpen in Ivanti EPM, Workspace Control (IWC) en Cloud Service Appliance (CSA) die niet in het wild zijn geëxploiteerd voordat ze werden gepatcht.

In januari patchte het bedrijf een vergelijkbare RCE-kwetsbaarheid (CVE-2023-39336) in Ivanti EPM die kon worden geëxploiteerd om toegang te krijgen tot de core-server of ingeschreven apparaten te kapen.

Toename in verholpen kwetsbaarheden door beveiligingsverbeteringen

Ivanti zei dat het de interne scanning, handmatige exploitatie en testcapaciteiten de afgelopen maanden heeft opgevoerd en tegelijkertijd werkt aan het verbeteren van het verantwoordelijke openbaarmakingsproces om mogelijke problemen sneller aan te pakken.

“Dit heeft geleid tot een piek in de ontdekking en openbaarmaking, en we zijn het eens met de verklaring van CISA dat de verantwoorde ontdekking en openbaarmaking van CVE’s ‘een teken is van een gezonde codeanalyse- en testgemeenschap,'” aldus Ivanti.

Deze verklaring volgt op uitgebreide exploitatie in het wild van meerdere Ivanti-zero-days in de afgelopen jaren. Zo worden Ivanti VPN-apparaten sinds december 2023 getarget met exploits die de CVE-2024-21887 commando-injectie en de CVE-2023-46805 authenticatiebypass-kwetsbaarheden als zero days combineren.

Het bedrijf waarschuwde ook voor een derde zero-day (een server-side request forgery bug die nu is bijgehouden als CVE-2024-21893) onder massale exploitatie in februari, waarmee aanvallers authenticatie op kwetsbare ICS-, IPS- en ZTA-gateways konden omzeilen.

Ivanti zegt dat het wereldwijd meer dan 7.000 partners heeft en dat meer dan 40.000 bedrijven hun producten gebruiken om hun IT-activa en systemen te beheren.