Ivanti 于 1 月 4 日修补了其端点管理器 (EPM) 软件中的一个严重漏洞(CVSS 9.6),该漏洞可能会让拥有内部访问权限的攻击者启动远程代码执行 (RCE)。
该漏洞(CVE-2023-39336)一旦被利用,攻击者可利用未指定的 SQL 注入执行任意 SQL 查询并检索输出,而无需进行身份验证。
Ivanti 在一篇博文中称,这可能会让攻击者控制运行 EPM 代理的机器,当核心服务器被配置为使用 SQL Express 时,这可能会导致核心服务器上的 RCE。
Ivanti 明确表示,没有迹象表明客户受到该漏洞的影响。不过,该公司表示,该漏洞会影响产品的所有支持版本,并已在 Ivanti EPM 2022 Service Update 5 中得到解决。供应商感谢 hir0ot 发现并报告了 Ivanti EPM 问题。
安全专家应该注意到,在过去几个月中,Ivanti 的产品也曾出现过问题。今年 8 月,Ivanti 披露其 Ivanti Sentry 网关中的零日漏洞正在被恶意利用。2023 年夏天,其端点管理器移动(EPMM)平台暴露出两个备受瞩目的关键漏洞,其中一个漏洞在对挪威政府 12 个部委的攻击中被利用。
Sevco Security公司联合创始人格雷格-菲茨杰拉德(Greg Fitzgerald)解释说,恶意行为者已经非常善于劫持易受攻击的端点,并利用它们访问数据和企业网络。菲茨杰拉德说,Ivanti 漏洞的好消息是,似乎没有人利用过这个漏洞。坏消息是:此类漏洞只是端点安全问题的冰山一角。
菲茨杰拉德指出,Sevco 最近的研究发现了一个更深层次的问题:许多公司对缺少端点保护等关键控制措施的 IT 资产视而不见。研究发现,11% 的 IT 资产首先就缺少端点保护。同样的数据显示,15% 的 IT 资产没有被企业补丁管理解决方案覆盖,31% 的 IT 资产没有被企业漏洞管理系统覆盖。
"菲茨杰拉德说:"这些数据综合起来说明了一个可怕的问题。"安全团队看不到太多的 IT 资产。你无法保护或修补你不知道的 IT 资产。这就是为什么一个准确的、最新的、能反映公司动态的、不断变化的攻击面的 IT 资产清单至关重要的原因。
Ontinue 公司威胁响应负责人 Balasz Greksza 补充说,除了启动 RCE 之外,最近的漏洞还可能通过卸载/禁用 EPM Agent 来移除运行 EPM Agent 的主机上的安全产品,大量部署恶意驱动程序或勒索软件,还可能在企业的关键主机上留下持久性植入。
"Greksza说:"利用该漏洞的噪音也相对较低,需要安全事件响应人员直接监控SQL查询。
