A Ivanti lançou correções para abordar várias falhas críticas de segurança no Endpoint Manager (EPM) que poderiam ser exploradas para alcançar a execução remota de código em certas circunstâncias.

Seis das 10 vulnerabilidades – de CVE-2024-29822 a CVE-2024-29827 (pontuações CVSS: 9.6) – estão relacionadas a falhas de injeção SQL que permitem a um atacante não autenticado na mesma rede executar código arbitrário.

As quatro falhas restantes – CVE-2024-29828, CVE-2024-29829, CVE-2024-29830 e CVE-2024-29846 (pontuações CVSS: 8,4) – também se enquadram na mesma categoria, com a única diferença sendo que exigem que o atacante esteja autenticado.

As falhas afetam o servidor Core das versões Ivanti EPM 2022 SU5 e anteriores.

A empresa também corrigiu uma falha de segurança de alta gravidade na versão 6.4.3.602 do Avalanche (CVE-2024-29848, pontuação CVSS: 7.2) que poderia permitir a um atacante alcançar a execução remota de código ao fazer upload de um arquivo especialmente criado.

Além disso, patches foram enviados para outras cinco vulnerabilidades de alta gravidade: uma injeção SQL (CVE-2024-22059) e uma falha de upload de arquivo ilimitado (CVE-2024-22060) no Neurons para o ITSM, uma falha de injeção CRLF no Connect Secure (CVE-2023-38551) e duas questões de escalonamento de privilégios locais no cliente Secure Access para Windows (CVE-2023-38042) e Linux (CVE-2023-46810).

A Ivanti enfatizou que não há evidências de que as falhas estejam sendo exploradas na natureza ou que foram “introduzidas em nosso processo de desenvolvimento de código maliciosamente” por meio de um ataque de cadeia de suprimentos.