Vulnerabilidades en Ivanti 2024

Ivanti lanza actualizaciones de seguridad de forma periódica para abordar múltiples vulnerabilidades detectadas en versiones anteriores. Estas vulnerabilidades, podrían haber sido explotadas por atacantes remotos para comprometer la seguridad y la integridad de los sistemas afectados.

A lo largo de este artículo, exploraremos en detalle las principales vulnerabilidades descubiertas por Ivanti durante este año. Cada una de estas vulnerabilidades presenta un riesgo potencial para la privacidad y seguridad de los distintos dispositivos de seguridad, por lo que es vital que todos los usuarios actualicen sus dispositivos periódicamente.

Vulnerabilidades en Ivanti 13 de septiembre 2024

INTRODUCCIÓN

Ivanti ha publicado actualizaciones para Ivanti Endpoint Manager 2024 y 2022 SU6 que abordan múltiples vulnerabilidades. Una explotación exitosa podría conducir a un acceso no autorizado al servidor central de EPM.

ANÁLISIS

CVE-2024-29847 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:

La deserialización de datos no confiables en el portal del agente de Ivanti EPM antes de 2022 SU6, o la actualización de septiembre de 2024 permite a un atacante remoto no autenticado lograr la ejecución remota de código.

CVE-2024-8191 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:

La inyección de SQL en la consola de administración de Ivanti EPM antes de 2022 SU6, o la actualización de septiembre de 2024, permite que un atacante remoto no autenticado logre la ejecución remota de código.

CVE-2024-8322 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8.8:

La autenticación débil en la gestión de parches de Ivanti EPM antes de 2022 SU6 o la actualización de septiembre de 2024 permite que un atacante autenticado remoto acceda a una funcionalidad restringida.

CVE-2024-37397 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N - 8.2:

Una vulnerabilidad de entidad XML externa (XXE) en el servicio web de aprovisionamiento de Ivanti EPM anterior a 2022 SU6 o a la actualización de 2024 de septiembre permite a un atacante remoto no autenticado filtrar secretos de la API.

VERSIONES AFECTADAS

Ivanti Endpoint Manager 2024
Ivanti Endpoint Manager 2022 SU5 y anteriores

RECOMENDACIONES

Actualice a Ivanti Endpoint Manager 2024 SU1, cuando se publique dicha actualización 
Actualice a Ivanti Endpoint Manager 2024 con el parche de seguridad (debe aplicarse tanto en julio como en septiembre).
Actualice a Ivanti Endpoint Manager 2022 SU6

REFERENCIAS

https://forums.ivanti.com/s/article/Security-Advisory-EPM-September-2024-for-EPM-2024-and-EPM-2022 
https://nvd.nist.gov/vuln/detail/CVE-2024-29847 
https://nvd.nist.gov/vuln/detail/CVE-2024-8191  
https://nvd.nist.gov/vuln/detail/CVE-2024-8322 
https://nvd.nist.gov/vuln/detail/CVE-2024-37397

Vulnerabilidades en Ivanti 2 de abril 2024

INTRODUCCIÓN

Se ha descubierto una vulnerabilidad en Ivanti Neurons para ITSM, donde un usuario puede realizar escrituras de archivos.

ANÁLISIS

CVE-2023-46808 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H - 9.9:

Vulnerabilidad de carga de archivos en Ivanti ITSM anterior a 2023.4 permite a un usuario remoto autenticado realizar escrituras de archivos en el servidor. La explotación exitosa puede conducir a la ejecución de comandos en el contexto de un usuario no root.

VERSIONES AFECTADAS

Todas las versiones compatibles de Ivanti Neurons para ITSM (2023.3, 2023.2 y 2023.1). Las versiones no compatibles también están en riesgo.

RECOMENDACIONES

El parche se ha aplicado a todas las Ivanti Neurons para entornos de nube ITSM.
En caso de clientes locales se debe actualizar a una versión compatible antes de aplicar el parche. Este se puede descargar de la propia web para cada versión 2023.X respectiva.

REFERENCIAS

https://nvd.nist.gov/vuln/detail/CVE-2023-46808

https://forums.ivanti.com/s/article/CVE-2023-46808-Authenticated-Remote-File-Write-for-Ivanti-Neurons-for-ITSM?language=en_US

Vulnerabilidades en Ivanti 11 de enero 2024

INTRODUCCIÓN

Se han descubierto dos vulnerabilidades en las pasarelas Ivanti Connect Secure (ICS), anteriormente conocidas como Pulse Connect Secure e Ivanti Policy Secure. Cuando se utilizan conjuntamente, la explotación no requiere autenticación y permite a un actor de amenaza ejecutar comandos arbitrarios en el sistema.

ANÁLISIS

CVE-2023-46805 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N - 8.2:

Una vulnerabilidad de elusión de autenticación en el componente web de Ivanti e Ivanti Policy Secure permite a un atacante remoto acceder a recursos restringidos eludiendo las comprobaciones de control.

CVE-2024-21887 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H - 9.1:

Una vulnerabilidad de inyección de comandos en los componentes web de Ivanti Connect Secure e Ivanti Policy Secure permite a un administrador autenticado enviar solicitudes especialmente diseñadas y ejecutar comandos arbitrarios en el dispositivo.

VERSIONES AFECTADAS

Estas vulnerabilidades afectan a todas las versiones compatibles - Versiones 9.x y 22.x tanto para Ivanti Connect Secure como para Ivanti Policy Secure.

RECOMENDACIONES

Los parches se publicarán de forma escalonada: la primera versión estará disponible la semana del 22 de enero y la última la semana del 19 de febrero.

También existe una solución para ambos CVE que se aplica importando el archivo mitigation.release.20240107.1.xml a través del portal de descargas. La información detallada de este parche está disponible en el artículo KB.

REFERENCIAS

https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US