\n<\/aside>\n<\/p>\n
El fabricante de software Ivanti insta a los usuarios de su producto de seguridad para terminales a parchear una vulnerabilidad cr\u00edtica que hace posible que atacantes no autenticados ejecuten c\u00f3digo malicioso dentro de las redes afectadas.<\/p>\n
La vulnerabilidad, en una clase conocida como inyecci\u00f3n SQL, reside en todas las versiones compatibles de Ivanti Endpoint Manager. Tambi\u00e9n conocido como Ivanti EPM, el software se ejecuta en una variedad de plataformas, incluidas Windows, macOS, Linux, Chrome OS y dispositivos de Internet de las cosas, como enrutadores. Las vulnerabilidades de inyecci\u00f3n SQL surgen de un c\u00f3digo defectuoso que interpreta la entrada del usuario como comandos de base de datos o, en t\u00e9rminos m\u00e1s t\u00e9cnicos, de la concatenaci\u00f3n de datos con c\u00f3digo SQL sin citar los datos de acuerdo con la sintaxis SQL. CVE-2023-39336, como se rastrea la vulnerabilidad de Ivanti, tiene una calificaci\u00f3n de gravedad de 9,6 sobre 10 posibles.<\/p>\n
\u00abSi es explotado, un atacante con acceso a la red interna puede aprovechar una inyecci\u00f3n SQL no especificada para ejecutar consultas SQL arbitrarias y recuperar resultados sin necesidad de autenticaci\u00f3n\u00bb, escribieron los funcionarios de Ivanti el viernes en una publicaci\u00f3n anunciando la disponibilidad del parche. \u201cEsto puede permitir al atacante controlar las m\u00e1quinas que ejecutan el agente EPM. Cuando el servidor central est\u00e1 configurado para usar SQL express, esto podr\u00eda generar RCE en el servidor central\u201d.<\/p>\n
RCE es la abreviatura de ejecuci\u00f3n remota de c\u00f3digo o la capacidad de los atacantes externos de ejecutar el c\u00f3digo de su elecci\u00f3n. Actualmente, no hay evidencia conocida de que la vulnerabilidad est\u00e9 bajo explotaci\u00f3n activa.<\/p>\n
Ivanti tambi\u00e9n ha publicado una divulgaci\u00f3n que est\u00e1 restringida \u00fanicamente a usuarios registrados. Una copia obtenida por Ars dec\u00eda que Ivanti se enter\u00f3 de la vulnerabilidad en octubre. La divulgaci\u00f3n privada en su totalidad es:<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\n<\/figure>\nNo est\u00e1 claro qu\u00e9 significa \u00abatacante con acceso a la red interna\u00bb. Seg\u00fan la explicaci\u00f3n oficial del Sistema de puntuaci\u00f3n de vulnerabilidad com\u00fan, el c\u00f3digo que Ivanti utiliz\u00f3 en la divulgaci\u00f3n, AV:A, es la abreviatura de \u00abVector de ataque: Adyacente\u00bb. El sistema de puntuaci\u00f3n lo defini\u00f3 como:<\/p>\n
\nEl componente vulnerable est\u00e1 vinculado a la pila de red, pero el ataque se limita a nivel de protocolo a una topolog\u00eda l\u00f3gicamente adyacente. Esto puede significar que un ataque debe lanzarse desde la misma red f\u00edsica o l\u00f3gica compartida (por ejemplo, subred IP local)…<\/p>\n<\/blockquote>\n
En un hilo sobre Mastodon, varios expertos en seguridad ofrecieron interpretaciones. Una persona que pidi\u00f3 no ser identificada expl\u00edcitamente por su nombre, empresa o puesto ocupacional, escribi\u00f3:<\/p>\n
\nTodo lo dem\u00e1s sobre la vulnerabilidad. [besides the requirement of access to the network] es grave:<\/p>\n
\nLa complejidad del ataque es baja.<\/li>\n Privilegios no requeridos<\/li>\n No es necesaria la interacci\u00f3n del usuario<\/li>\n Se modifica el alcance del impacto posterior en otros sistemas.<\/li>\n El impacto en la confidencialidad, la integridad y la disponibilidad es alto<\/li>\n<\/ul>\n<\/blockquote>\n