Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos de Ivanti

Fecha de publicación 11/09/2024
Identificador
INCIBE-2024-0445
Importancia
5 - Crítica
Recursos Afectados
  • Ivanti IWC: versiones 10.18.0.0 y anteriores.
  • Ivanti Cloud Services Appliance: versión 4.6 (todas las versiones anteriores al parche 519).
  • Ivanti Endpoint Manager:
    • Versión 2024.
    • Versiones 2022 SU5 y anteriores.
Descripción

Ivanti ha publicado avisos de seguridad para atender a 23 vulnerabilidades que afectan a sus productos. La explotación de estas vulnerabilidades puede provocar una escalada de privilegios o ejecución remota de código. 

En la detección y gestión de estas vulnerabilidades han colaborado, Sina Kheirkhah y 06fe5fd2bc53027c4a3b7e395af0b850e7b8a044, de Trend Micro Zero Day Initiative además de Remko Weijnen.

Solución
  • Ivanti IWC: actualizar a la versión 10.18.99.0
  • Ivanti Cloud Services Appliance: 
    • Actualizar al parche 519 para la versión 4.6.
    • Ivanti, además, recomienda actualizar a la versión 5.0.
  • Ivanti Endpoint Manager:
    • Versión 2024: aplicar los parches de julio y septiembre. Además, está previsto que se publique la versión 2024 SU1.
    • Versión 2022 SU6.
Detalle

De las 23 vulnerabilidades, 10 son críticas, 9 altas y 4 medias.

  • La deserialización de datos no fiables en el portal del agente de Ivanti EPM podría permitir a un atacante remoto no autenticado lograr la ejecución remota de código. Esta vulnerabilidad tiene una puntuación crítica de 10 y recibe el identificador CVE-2024-29847.
  • Una inyección SQL no especificada en Ivanti EPM podría permitir a un atacante remoto autenticado con privilegios de administrador lograr la ejecución remota de código. Esto provoca las vulnerabilidades críticas CVE-2024-32840, CVE-2024-32842, CVE-2024-32843, CVE-2024-32845, CVE-2024-32846, CVE-2024-32848, CVE-2024-34779, CVE-2024-34783 y CVE-2024-34785.

El resto de vulnerabilidades no críticas se pueden consultar en las referencias.