Ivanti telah meluncurkan pembaruan keamanan untuk mengatasi beberapa kelemahan keamanan yang berdampak pada Avalanche, Application Control Engine, dan Endpoint Manager (EPM), termasuk empat bug penting yang dapat menyebabkan pengungkapan informasi.
Keempat kelemahan keamanan kritis, yang diberi peringkat 9,8 dari 10,0 pada skala CVSS, berakar pada EPM, dan berkaitan dengan kelemahan traversal jalur absolut yang memungkinkan penyerang jarak jauh yang tidak diautentikasi membocorkan informasi sensitif. Kelemahannya tercantum di bawah ini –
- CVE-2024-10811
- CVE-2024-13161
- CVE-2024-13160, dan
- CVE-2024-13159
Kekurangan tersebut mempengaruhi pembaruan keamanan November 2024 versi EPM dan sebelumnya, serta pembaruan keamanan SU6 November 2022 dan sebelumnya. Masalah tersebut telah diatasi dalam Pembaruan Keamanan EPM 2024 Januari-2025 dan Pembaruan Keamanan EPM 2022 SU6 Januari-2025.
Peneliti keamanan Horizon3.ai Zach Hanley telah berjasa menemukan dan melaporkan semua kerentanan yang dipermasalahkan.
Ivanti juga telah menambal beberapa bug dengan tingkat keparahan tinggi di versi Avalanche sebelum 6.4.7 dan Mesin Kontrol Aplikasi sebelum versi 10.14.4.0 yang dapat mengizinkan penyerang melewati autentikasi, membocorkan informasi sensitif, dan menyiasati fungsi pemblokiran aplikasi.
Perusahaan tersebut mengatakan bahwa mereka tidak memiliki bukti bahwa kelemahan apa pun sedang dieksploitasi secara liar, dan bahwa mereka telah mengintensifkan prosedur pemindaian dan pengujian internal untuk segera menandai dan mengatasi masalah keamanan.
Perkembangan ini terjadi ketika SAP merilis perbaikan untuk mengatasi dua kerentanan kritis di NetWeaver ABAP Server dan Platform ABAP (CVE-2025-0070 dan CVE-2025-0066, skor CVSS: 9.9) yang memungkinkan penyerang yang diautentikasi mengeksploitasi pemeriksaan otentikasi yang tidak tepat secara berurutan. untuk meningkatkan hak istimewa dan mengakses informasi yang dibatasi karena kontrol akses yang lemah.
“SAP sangat menyarankan agar pelanggan mengunjungi Portal Dukungan dan menerapkan patch berdasarkan prioritas untuk melindungi lanskap SAP mereka,” kata perusahaan itu dalam buletinnya pada bulan Januari 2025.
