พบช่องโหว่ pre-auth stack buffer overflows ระดับ Critical ใน Ivanti Avalanche

พบช่องโหว่ stack-based buffer overflows หมายเลข CVE-2023-32560 ส่งผลกระทบต่อ Ivanti Avalanche ซึ่งเป็นโซลูชัน Enterprise Mobility Management (EMM) ที่ออกแบบมาเพื่อจัดการ ตรวจสอบ และรักษาความปลอดภัยของอุปกรณ์พกพาหลากหลายประเภท

โดยช่องโหว่อยู่ในระดับ Critical (CVSS v3: 9.8) และสามารถถูกโจมตีจากภายนอกได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ของผู้ใช้งาน ซึ่งอาจทำให้ผู้โจมตีสามารถสั่งรันโค้ดได้ตามที่ต้องการบนระบบของเป้าหมายได้

ช่องโหว่นี้ส่งผลกระทบต่อ WLAvalancheService.exe เวอร์ชัน 6.4.0.0 และเก่ากว่า ที่มีการเชื่อมต่อผ่านพอร์ต TCP 1777

หากผู้โจมตีส่งแพ็คเก็ตข้อมูลที่สร้างขึ้นเป็นพิเศษ ซึ่งมี hex strings (type 3) หรือรายการ strings ทศนิยมที่คั่นด้วย “;” (type 9) อาจทำให้เกิด buffer overflow เนื่องจากการ fixed-size stack-based buffer ที่ใช้ในการเก็บข้อมูลที่ถูก converted

Buffer overflow เป็นช่องโหว่ด้านความปลอดภัยประเภทหนึ่ง ที่โปรแกรมจะทำการเขียนข้อมูลไปยังบล็อกหน่วยความจำที่อยู่ติดกัน (Buffer) มากเกินกว่าที่มันจะสามารถเก็บได้ การเขียนข้อมูลทับตำแหน่งเหล่านั้น อาจทำให้โปรแกรมหยุดทำงานได้

Stack-based buffer overflows เกี่ยวข้องกับการเขียนทับพื้นที่ที่จัดสรรบน stack ซึ่งเป็นพื้นที่หน่วยความจำที่เก็บตัวแปรในเครื่องของโปรแกรม ซึ่งอาจทำให้สามารถสั่งให้โปรแกรมรันโค้ดที่เป็นอันตรายได้

ช่องโหว่ดังกล่าวถูกพบโดยนักวิจัยของ Tenable และรายงานไปยัง Ivanti เมื่อวันที่ 4 เมษายน 2023 และมีการส่งตัวอย่างของ proof-of-concept ให้กับ Ivanti ไปเมื่อวันที่ 13 เมษายน 2023

โดย Ivanti เผยแพร่แพตซ์อัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ดังกล่าวเมื่อวันที่ 3 สิงหาคม 2023 ด้วย Avalanche เวอร์ชั่น 6.4.1

นอกจาก CVE-2023-32560 แล้ว Avalanche เวอร์ชัน 6.4.1 ยังแก้ไขช่องโหว่ CVE-2023-32561, CVE-2023-32562, CVE-2023-32563, CVE-2023-32564, CVE-2023-32565 และ CVE-2023- 32566 ที่เกี่ยวข้องกับการ bypass การตรวจสอบสิทธิ์ และช่องโหว่การสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (remote code execution)

โดยซอฟต์แวร์ของ Ivanti มักถูกนำมาใช้ในระบบที่มีความสำคัญ ดังนั้นผู้โจมตีจึงพยายามค้นหาช่องโหว่ระดับ critical ซึ่งอาจนำมาใช้เป็นช่องทางสำหรับโจมตีระบบได้

เมื่อเดือนที่แล้ว มีรายงานว่าแฮ็กเกอร์ใช้ช่องโหว่ Zero-day การ bypass การยืนยันตัวตน CVE-2023-35078 ใน Ivanti Endpoint Manager Mobile (EPMM) เพื่อเจาะแพลตฟอร์มที่รัฐบาลนอร์เวย์ใช้ และสามารถเข้าถึงข้อมูลที่เป็นความลับ และมีความสำคัญได้

ที่มา : bleepingcomputer