Ivanti lança patches para 27 vulnerabilidades nas soluções Avalanche MDM

A Ivanti anunciou correções para 27 vulnerabilidades com origens no Avalanche, o produto de gestão de dispositivos móveis (MDM) corporativos.

De acordo com o Bleeping Computer, o Avalanche é utilizado por administradores corporativos para gerir, implementar software e agendar atualizações remotamente a partir de um único ponto central para mais de 100 mil dispositivos móveis.

As correções em causa incluíam duas falhas de gravidade crítica, referenciadas como CVE-2024-24996 e CVE-2024-29204, que podem ser exploradas através da execução remota de comandos, sem necessidade de autenticação, e que são descritas como problemas de heap overflow nos componentes WLInfoRailService e WLAvalancheService da solução MDM.

Os patches de segurança abordaram várias vulnerabilidades de alta gravidade que podem permitir que invasores remotos e não autenticados executem comandos com privilégios do sistema.

As atualizações tiveram ainda em conta várias falhas de alta gravidade que podem levar a ataques denial-of-service (DoS) e problemas de gravidade média, permitindo que invasores remotos não autenticados leiam informações confidenciais da memória.

De acordo com a Ivanti, não existem mais produtos afetados por estes defeitos de segurança.

“Não temos conhecimento de nenhum cliente afetado por estas vulnerabilidades antes da divulgação pública. Estas vulnerabilidades foram divulgadas através nosso programa de divulgação responsável”, revelou a empresa num comunicado publicado esta terça-feira.

De forma a corrigir as vulnerabilidades listadas, a empresa recomenda aos utilizadores que atualizem o sistema para a versão mais recente avalanche 6.4.3.