Le fabricant de logiciels Ivanti exhorte les utilisateurs de son produit de sécurité des points d’extrémité à corriger une vulnérabilité critique qui permet à des attaquants non authentifiés d’exécuter un code malveillant à l’intérieur des réseaux concernés. La vulnérabilité, issue d’une classe connue sous le nom d’injection SQL, se trouve dans toutes les versions prises en charge de Ivanti Endpoint Manager. Également connu sous le nom de Ivanti EPM, le logiciel fonctionne sur plusieurs plates-formes, y compris Windows, macOS, Linux, Chrome OS et des appareils Internet des objets tels que des routeurs. Les vulnérabilités d’injection SQL résultent d’un code défectueux qui interprète les entrées utilisateur comme des commandes de base de données ou, plus techniquement, de la concaténation de données avec du code SQL sans citer les données conformément à la syntaxe SQL. CVE-2023-39336, comme la vulnérabilité d’Ivanti est suivie, a un niveau de gravité de 9,6 sur 10. « Si exploitée, un attaquant ayant accès au réseau interne peut utiliser une injection SQL non spécifiée pour exécuter des requêtes SQL arbitraires et récupérer les résultats sans nécessiter d’authentification », ont écrit les responsables d’Ivanti vendredi dans un billet annonçant la disponibilité du correctif. « Cela permet ensuite à l’attaquant de prendre le contrôle des machines exécutant l’agent EPM. Lorsque le serveur principal est configuré pour utiliser SQL express, cela peut entraîner une exécution de code à distance sur le serveur principal ». RCE est l’abréviation d’exécution de code à distance, ou la capacité pour les attaquants externes d’exécuter un code de leur choix. À l’heure actuelle, il n’y a aucune preuve connue d’exploitation active de la vulnérabilité. Ivanti a également publié une divulgation qui est réservée aux utilisateurs enregistrés uniquement. Une copie obtenue par Ars indique qu’Ivanti a pris connaissance de la vulnérabilité en octobre. La divulgation privée complète est la suivante :
Les Problèmes Communs Rencontrés par la Société dans l’Utilisation Efficace des Derniers Développements de l’Intelligence Artificielle
Les Problèmes Communs Rencontrés par la Société dans l’Utilisation Efficace des Derniers Développements de l’Intelligence Artificielle Introduction L’intelligence artificielle (IA)
