Le fabricant de logiciels Ivanti encourage les utilisateurs de son produit de sécurité des points d’extrémité à corriger une vulnérabilité critique qui permet à des attaquants non authentifiés d’exécuter du code malveillant à l’intérieur des réseaux concernés. La vulnérabilité, d’une classe connue sous le nom d’injection SQL, se trouve dans toutes les versions prises en charge du gestionnaire de points d’extrémité Ivanti. Également connu sous le nom de Ivanti EPM, le logiciel fonctionne sur différentes plates-formes, notamment Windows, macOS, Linux, Chrome OS et les appareils Internet des objets tels que les routeurs. Les vulnérabilités d’injection SQL proviennent d’un code défectueux qui interprète l’entrée de l’utilisateur comme des commandes de base de données ou, pour le dire de manière plus technique, de la concaténation de données avec du code SQL sans mettre les données entre guillemets conformément à la syntaxe SQL. La CVE-2023-39336, qui est le numéro de suivi de la vulnérabilité Ivanti, est classée avec un niveau de gravité de 9,6 sur 10 possibles. « Si elle est exploitée, un attaquant ayant accès au réseau interne peut exploiter une injection SQL non spécifiée pour exécuter des requêtes SQL arbitraires et récupérer des sorties sans nécessiter d’authentification », ont écrit les responsables d’Ivanti vendredi dans un article annonçant la disponibilité du correctif. « Cela peut ensuite permettre à l’attaquant de prendre le contrôle des machines exécutant l’agent EPM. Lorsque le serveur principal est configuré pour utiliser SQL Express, cela peut entraîner une RCE sur le serveur principal. » RCE fait référence à l’exécution de code à distance, ou la capacité des attaquants hors site à exécuter le code de leur choix. À l’heure actuelle, il n’existe aucune preuve connue de l’exploitation active de la vulnérabilité. Ivanti a également publié une divulgation qui est réservée aux seuls utilisateurs inscrits. Une copie obtenue par Ars indique que Ivanti a découvert cette vulnérabilité en octobre. La divulgation complète, qui est confidentielle, est la suivante :
Les Problèmes Communs Rencontrés par la Société dans l’Utilisation Efficace des Derniers Développements de l’Intelligence Artificielle
Les Problèmes Communs Rencontrés par la Société dans l’Utilisation Efficace des Derniers Développements de l’Intelligence Artificielle Introduction L’intelligence artificielle (IA)
