Ivantis Endpoint Manager'da (EPM) şirketin aylardır bildiği ancak yalnızca altı ayda kapatmak istediği ciddi güvenlik açıkları vardı. Bu, boşlukları artık “Sıfır Günler” olarak yayınlayan Trend Micro'nun Sıfır Gün Girişimi (ZDI) için çok uzun bir süre oldu. Hata kataloğu on bir SQL enjeksiyonu, bir yol boşluğu ve bir güvenilmeyen veri seri durumdan çıkarma içerir.
Ivanti'nin zamanı yok, ZDI tepki gösteriyor
Dikkate değer olan, ZDI'nın bunu yayınlama şeklidir. Sıfır Gün Girişimi genellikle üreticilerle çalışması ve onlara sıfır gün sürümleri konusunda baskı yapmamasıyla tanınır. Ancak mevcut durumda ZDI'nın Ivanti'ye karşı sabrı tükendi.
Bu yılın mayıs ve haziran aylarında zaten güvenlik açıklarının farkına varmışlardı. ZDI genellikle bunları ayrıntılı talimatlarla (kavram kanıtı) birlikte üreticilere bildirir. Ancak Ivanti başlangıçta sorunları çözmek için çok az şey yaptı. Bazı durumlarda, güncellemeleri Eylül ayında yayınlama niyetlerini ZDI'ya bildirdiler, ancak birkaç gün sonra geri çektiler. Diğer durumlarda şirket başlangıçta hiç yanıt vermedi.
Temmuz ayının sonunda Ivanti, ZDI'dan on üç güvenlik açığının düzeltilmesi için son tarihin uzatılmasını istedi. Ve birkaç gün ya da hafta boyunca değil. Hayır, Mart 2026'ya kadar tazminat vermek istemediler. Hataların etkisi dikkate alındığında bu anlaşılmaz bir karar. Hepsi yalnızca kayıtlı kullanıcılar tarafından istismar edilebilse de, bir istismar zincirinin parçası olarak yüksek risk potansiyeli taşıyorlar.
ZDI bu nedenle Eylül ayının sonunda tüm boşlukları “Sıfır Günler” olarak yayınlamaya karar verdi ve bu kararın takipçisi oldu. Ivanti Endpoint Manager'ı kullanan herkes dikkatli olmalıdır: ZDI web sitesindeki kısa güvenlik raporları herhangi bir ayrıntı içermese de, dünyanın dört bir yanındaki istismarcıların artık en azından tam olarak nereye bakacaklarını bilmeleri gerekiyor. Ivanti'nin hatayı kısa vadede, örneğin önümüzdeki birkaç gün içinde beklenen aylık güvenlik güncellemesinde düzeltip düzeltmeyeceği henüz belli değil.
Ayrıntılı olarak boşluklar:
- ZDI-CAN-26834: OnSaveToDB Dizin Geçişinde Uzaktan Kod Yürütme Güvenlik Açığı, CVSS 8.8 (Risk”yüksek“)
- ZDI-CAN-25369: AgentPortal'da Güvenilmeyen Verilerin Seri durumdan Çıkarılması Yerel Ayrıcalık Arttırılması Güvenlik Açığı, CVSS 7.8 (yüksek),
- ZDI-CAN-26859: SQL Enjeksiyon Uzaktan Kod Yürütme Güvenlik Açığı Raporu_RunPatch, CVSS 7.2 (yüksek),
- ZDI-CAN-26857: MP_Report_Run2 SQL Enjeksiyon Uzaktan Kod Yürütme Güvenlik Açığı, CVSS 7.2 (yüksek),
- ZDI-CAN-26866: DBDR SQL Enjeksiyonu, CVSS Uzaktan Kod Yürütme Güvenlik Açığı 7.2 (yüksek),
- ZDI-CAN-26865: PatchHistory SQL Enjeksiyonunda Uzaktan Kod Yürütme Güvenlik Açığı, CVSS 7.2 (yüksek),
- ZDI-CAN-26864: MP_QueryDetail2 Uzaktan SQL Ekleme Kodu Yürütme Güvenlik Açığı, CVSS 7.2 (yüksek),
- ZDI-CAN-26862: GetCountForQuery SQL Enjeksiyonunda Uzaktan Kod Yürütme Güvenlik Açığı, CVSS 7.2 (yüksek),
- ZDI-CAN-26861: MP_QueryDetail Uzaktan SQL Ekleme Kodu Yürütme Güvenlik Açığı, CVSS 7.2 (yüksek),
- ZDI-CAN-26860: MP_VistaReport SQL Enjeksiyonunda Uzaktan Kod Yürütme Güvenlik Açığı, CVSS 7.2 (yüksek),
- ZDI-CAN-26858: SQL Enjeksiyon Uzaktan Kod Yürütme Güvenlik Açığı Raporu_RunPatch, CVSS 7.2 (yüksek),
- ZDI-CAN-26856: Report_Run SQL Enjeksiyonu, CVSS Uzaktan Kod Yürütme Güvenlik Açığı 7.2 (yüksek) VE
- ZDI-CAN-26855: SQL Enjeksiyon Uzaktan Kod Yürütme Güvenlik Açığı Raporu_Run2, CVSS 7.2 (yüksek).
Güvenlik açıklarına ilişkin CVE kimlikleri henüz mevcut olmadığından bunları istisnai olarak CAN ZDI numaralarına göre listeliyoruz.
Ivanti'deki güvenlik açıkları, suçluların istismar kitlerine dahil ettiği güvenlik açıkları arasında yer alıyor; çünkü onlara yönelik başarılı saldırılar, ağlara geniş erişim vaat ediyor. Mayıs ayında Ivanti, Ivanti'nin EPMM'sine aktif saldırılar yapıldığını bildirdi.
(cku)
Bir yanıt yazın