Ivanti heeft onlangs maar liefst veertien kritieke securitykwetsbaarheden gepatcht in zijn zakelijke MDM-oplossing Avalanche. Via deze kwetsbaarheden konden hackers éénvoudig op afstand code uitvoeren, zonder interactie van eindgebruikers.
In totaal ontdekte Ivanti zelfs 20 securitykwetsbaarheden in zijn Avalanche MDM-oplossing. Avalanche is een MDM-oplossing waarmee bedrijven online meer dan 100.000 mobiele devices van een enkele locatie kunnen beheren, van software voorzien en updates plannen.
Van de ontdekte kwetsbaarheden zijn er veertien als echt kritiek gedefinieerd. De nu gefixte kritieke kwetsbaarheden richtten zich vooral op de zogenoemde WLAvalancheService-stack of een zogenoemde ‘heap-based buffer overflow’-kwetsbaarheid.
Niet-geautheniceerde hackers kunnen hierdoor makkelijke aanvallen uitvoeren die geen interactie met eindgebruikers vereisen. Uiteindelijk kunnen zij op deze manier op afstand code draaien op de getroffen systemen.
Laatste versie patcht problemen
Meer specifiek zorgen de nu gevonden kritieke kwetsbaarheden in Avanti Avalanche ervoor dat hackers speciaal gemaakte datapakketjes naar de Mobile Device Server kunnen sturen. Daar kunnen zij ‘memory corruption’ veroorzaken en dit leidt dan weer tot een Denial of Service (DoS) of het kunnen uitvoeren van willekeurige code. Alle problemen zijn opgelost met het uitbrengen van de laatste versie van Ivanti Avalanche, versie 6.4.2.
Ivanti-software eerder kwetsbaar
De recente securitykwetsbaarheden zijn niet de eerste kwetsbaarheden waarmee Ivanti dit jaar te maken kreeg. In april dit jaar werd de MDM-specialist al getroffen door een grote kwetsbaarheid in zijn Endpoint Manager Mobile (EPMM)-oplossing. De ontdekking gebeurde pas in juli door de ontdekking van een hack bij enkele Noorse ministeries. Uit verder onderzoek bleek dat alle servers met de EPMM-oplossing kwetsbaar waren en dat deze servers zich voornamelijk in Westerse bedrijven bevonden.
In augustus dit jaar werd ook een lek aangetroffen in de Ivanti Sentry-gateway.
Lees ook: Hackers misbruiken zeroday in Ivanti-software al zeker sinds april