Ivanti corrige une faille critique dans son EDM

Si la vulnérabilité CVE-2023-39336 n’a apparemment pas encore été utilisée, elle doit être immédiatement patché au regard de l’impact potentiel qu’elle peut avoir en cas d’exploit réussi.

Ivanti alerte sur une nouvelle faille critique au sein de sa solution d’EDM. L’éditeur enjoint ses clients à appliquer très rapidement le correctif qu’il vient de publier au sujet de la vulnérabilité CVE-2023-39336 qui affecte la version EPM 2022 SU4 et toutes les versions antérieures de son outil de gestion des terminaux et des points d’accès. Si aucun exploit n’a pour l’instant été détecté, son score de criticité est évalué à 9,6 sur 10.

Dans son dernier bulletin de sécurité, Ivanti détaille le fonctionnement de cette faille d'injection SQL. Elle permet à des acteurs malveillants ayant réussi à se connecter sur le même réseau d'exécuter des requêtes SQL arbitraires et de récupérer les résultats sans avoir besoin d'une authentification du serveur EPM. En cas de succès, le ou les pirates peuvent prendre le contrôle des machines exécutant l'agent EPM ou exécuter un code arbitraire sur le serveur, à condition qu’il soit configuré avec Microsoft SQL Express. Dans le cas contraire, ce sont les instances de MSSQL qui sont touchées.

En décembre dernier, l’éditeur avait déjà dû corriger en urgence deux failles zero days dans sa solution Endpoint Manager Mobile qui avait permis à un groupe d’assaillants de pénétrer les réseaux du gouvernement norvégiens. Ivanti rappelle que les agents de surveillance des terminaux, par leurs capacités étendues et de leurs autorisations à privilèges sur les systèmes, sont aujourd’hui des cibles très privilégiées des groupes de hackers qui les utilisent comme des chevaux de Troie.