Ivanti Avalanche von kritischen Vorfällen betroffen

Zwei stapelbasierte Pufferüberläufe, die gemeinsam als CVE-2023-32560 verfolgt werden, wirken sich auf Ivanti Avalanche aus, eine Enterprise Mobility Management (EMM)-Lösung zur Verwaltung, Überwachung und Sicherung einer Vielzahl mobiler Geräte.

Die Schwachstellen werden als kritisch eingestuft (CVSS v3: 9.8) und können aus der Ferne ohne Benutzerauthentifizierung ausgenutzt werden, sodass Angreifer potenziell beliebigen Code auf dem Zielsystem ausführen können.

Die Sicherheitslücke betrifft WLAvalancheService.exe Version 6.4.0.0 und älter, die Kommunikation über TCP-Port 1777 empfängt.

Ein Angreifer sendet speziell gestaltete Datenpakete mit Hex-Zeichenfolgen (Typ 3) oder einer Liste von durch „;“ getrennten Dezimalzeichenfolgen. (Typ 9) kann aufgrund eines stapelbasierten Puffers mit fester Größe, der zum Speichern der konvertierten Daten verwendet wird, einen Pufferüberlauf verursachen.

Pufferüberlauf ist eine Art Sicherheitsproblem, bei dem ein Programm mehr Daten in einen angrenzenden Speicherblock (Puffer) schreibt, als er aufnehmen kann, wodurch diese Speicherorte überschrieben werden und Programmabstürze oder die Ausführung willkürlichen Codes verursacht werden.

Bei stapelbasierten Pufferüberläufen handelt es sich um das Überschreiben von Bereichen, die auf dem Stapel zugewiesen sind. Dabei handelt es sich um einen Speicherbereich, der die lokalen Variablen und Rücksprungadressen des Programms speichert und es so ermöglicht, das Programm anzuweisen, Schadcode auszuführen.

Die Probleme wurden von Tenable-Forschern entdeckt und Ivanti am 4. April 2023 gemeldet, während dem Anbieter am 13. April 2023 ein Proof-of-Concept vorgelegt wurde.

Nachdem das Offenlegungsfenster verlängert wurde, um dem Anbieter mehr Zeit für die Behebung der Probleme zu geben, wurde am 3. August 2023 ein Sicherheitsupdate mit Avalanche Version 6.4.1 veröffentlicht.

Neben CVE-2023-32560 behebt Avalanche Version 6.4.1 auch CVE-2023-32561, CVE-2023-32562, CVE-2023-32563, CVE-2023-32564, CVE-2023-32565 und CVE-2023- 32566, betreffend verschiedene Fehler bei der Authentifizierungsumgehung und der Remotecodeausführung.

Ivanti-Software wird in kritischen Systemen und Umgebungen eingesetzt, sodass Bedrohungsakteure ständig nach Schwachstellen mit kritischem Schweregrad suchen, die potenzielle Einfallstore für Angriffe darstellen.

Letzten Monat wurde bekannt, dass Hacker eine Zero-Day-Authentifizierungs-Bypass-Schwachstelle (CVE-2023-35078) im Ivanti Endpoint Manager Mobile (EPMM) ausnutzten, um in eine von zwölf Ministerien der norwegischen Regierung genutzte Plattform einzudringen und auf potenziell sensible und geheime Informationen zuzugreifen .

Durch den WinRAR-Fehler können Hacker Programme ausführen, wenn Sie RAR-Archive öffnen

Neuer kritischer Fehler in PaperCut setzt nicht gepatchte Server RCE-Angriffen aus

Hacker nutzen BleedingPipe RCE, um Minecraft-Server und -Spieler anzugreifen

Kritischer RCE in der beliebten Open-Source-PDF-Bibliothek Ghostscript

Fortinet warnt vor kritischem RCE-Fehler in FortiOS- und FortiProxy-Geräten