Na terça-feira, a Ivanti lançou correções para resolver múltiplas falhas de segurança críticas no Endpoint Manager (EPM) que poderiam ser exploradas para alcançar a execução remota de código em determinadas circunstâncias. Seis das 10 vulnerabilidades – de CVE-2024-29822 a CVE-2024-29827 (pontuações CVSS: 9.6) – estão relacionadas a falhas de injeção de SQL que permitem a um atacante não autenticado na mesma rede executar código arbitrário. As quatro falhas restantes – CVE-2024-29828, CVE-2024-29829, CVE-2024-29830 e CVE-2024-29846 (pontuações CVSS: 8.4) – também se enquadram na mesma categoria, com a única diferença de que exigem que o atacante esteja autenticado. As deficiências afetam o servidor Core das versões 2022 SU5 e anteriores do Ivanti EPM. A empresa também abordou uma falha de segurança de alta gravidade na versão 6.4.3.602 do Avalanche (CVE-2024-29848, pontuação CVSS: 7.2) que poderia permitir a um atacante alcançar a execução remota de código fazendo upload de um arquivo especialmente elaborado. Além disso, foram enviados patches para outras cinco vulnerabilidades de alta gravidade: uma injeção de SQL (CVE-2024-22059) e uma falha de upload de arquivo não restrito (CVE-2024-22060) em Neurons para ITSM, uma falha de injeção de CRLF em Connect Secure (CVE-2023-38551) e dois problemas de escalonamento de privilégios locais no cliente Secure Access para Windows (CVE-2023-38042) e Linux (CVE-2023-46810). A Ivanti enfatizou que não há evidências de que as falhas tenham sido exploradas de forma maliciosa ou que tenham sido “introduzidas em nosso processo de desenvolvimento de código de maneira maliciosa” por meio de um ataque de cadeia de suprimentos. Esse desenvolvimento ocorre à medida que detalhes surgem sobre uma falha crítica na versão de código aberto do mecanismo de orquestração e execução de Big Data federado Genie desenvolvido pela Netflix (CVE-2024-4701, pontuação CVSS: 9.9) que poderia levar à execução remota de código. Descrito como uma vulnerabilidade de travessia de caminho, a deficiência poderia ser explorada para escrever um arquivo arbitrário no sistema de arquivos e executar um código arbitrário. A falha decorre do fato de que a API REST do Genie é projetada para aceitar um nome de arquivo fornecido pelo usuário como parte da solicitação, permitindo assim que um ator malicioso crie um nome de arquivo de forma que possa sair do caminho de armazenamento padrão de anexos e escrever um arquivo com qualquer nome especificado pelo usuário em um caminho especificado pelo ator. “Usuários do Genie OSS que executam sua própria instância e dependem do sistema de arquivos para armazenar anexos de arquivo enviados para a aplicação Genie podem ser impactados”, disseram os mantenedores em um aviso. “Usando essa técnica, é possível escrever um arquivo com qualquer nome de arquivo e conteúdo de arquivo especificado pelo usuário em qualquer local no sistema de arquivos ao qual o processo Java tem acesso de gravação – potencialmente levando à execução remota de código (RCE)”. No entanto, usuários que não armazenam os anexos localmente no sistema de arquivos subjacente não são suscetíveis a esse problema. “Se bem-sucedido, tal ataque poderia enganar um aplicativo da web para ler e, consequentemente, expor o conteúdo de arquivos fora do diretório raiz do documento do aplicativo ou do servidor da web, incluindo credenciais para sistemas back-end, código de aplicativo e dados e arquivos de sistema operacional sensíveis”, disse o pesquisador de segurança da Contrast Security, Joseph Beeton. Mais cedo neste mês, o governo dos EUA alertou sobre tentativas contínuas de atores de ameaças de explorar defeitos de travessia de diretório em software para violar alvos, pedindo aos desenvolvedores que adotem uma abordagem de “segurança por design” para eliminar tais brechas de segurança. “Incorporar esta mitigação de risco no início – começando na fase de design e continuando até o lançamento do produto e as atualizações – reduz tanto o ônus da cibersegurança para os clientes quanto o risco para o público”, disse o governo. A divulgação também ocorre na esteira de várias vulnerabilidades (CVE-2023-5389 e CVE-2023-5390) no Controlador de Operações de Unidade de Borda da Honeywell que podem resultar em execução remota de código não autenticada. “Um atacante que já está em uma rede OT usaria um pacote de rede malicioso para explorar essa vulnerabilidade e comprometer o controlador virtual”, disse a Claroty. “Este ataque poderia ser realizado remotamente para modificar arquivos, resultando no controle total do controlador e a execução de código malicioso”.