Selon Truesec, Zero Day Initiative (ZDI) a publié la divulgation de 13 vulnérabilités affectant Ivanti Endpoint Manager, sans CVE assignés et sans correctifs disponibles à ce stade.
• Vue d’ensemble: ZDI signale 13 vulnérabilités dont 12 vulnérabilités d’exécution de code à distance (RCE) nécessitant une authentification — majoritairement des injections SQL — et 1 vulnérabilité d’élévation locale de privilèges (ZDI-25-947). L’absence de patch oblige les organisations à recourir à des contrôles compensatoires (restrictions d’accès, liste blanche IP, principe du moindre privilège, surveillance accrue des requêtes SQL et de l’activité des comptes de service). ⚠️
• Détails techniques clés: ZDI-25-947 implique une désérialisation de données non fiables dans le service AgentPortal, permettant une élévation de privilèges au niveau SYSTEM. Les RCE reposent sur un manque de validation d’entrée avant la construction des requêtes SQL dans plusieurs classes: Report_Run, Report_Run2, Report_RunPatch, MP_VistaReport, MP_QueryDetail, MP_QueryDetail2, PatchHistory, DBDR et MP_Report_Run2. ZDI-25-935 décrit une validation de chemin inadéquate dans la méthode OnSaveToDB, nécessitant une interaction utilisateur. Toutes les vulnérabilités distantes exigent une authentification mais peuvent mener à une exécution de code dans le contexte du compte de service.
• Impact: Les failles permettent l’exécution de code arbitraire sous le compte de service et une élévation de privilèges jusqu’à SYSTEM pour la désérialisation dans AgentPortal. Aucun correctif n’est disponible au moment de la publication.
• Mesures mentionnées: Restrictions d’accès, liste blanche IP, moindre privilège, surveillance renforcée des requêtes SQL et de l’activité du compte de service.
• IOCs et TTPs:
- IOCs: non fournis.
- TTPs: Injection SQL, désérialisation de données non fiables, validation d’entrée insuffisante, validation de chemin inadéquate, RCE authentifiée, élévation de privilèges (SYSTEM), exécution dans le contexte du compte de service.
Type d’article et objectif: Il s’agit d’un rapport de vulnérabilité visant à divulguer des failles non corrigées, décrire leurs mécanismes/impacts et signaler les contrôles compensatoires recommandés.
🔗 Source originale : https://www.truesec.com/hub/blog/ivanti-vulnerabilities-disclosed-by-zero-day-initiative