Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Ivanti製モバイル管理製品「Avalanche」に深刻な脆弱性 - 一部PoCが公開済み

Ivantiが提供するモバイルデバイスの管理ソリューション「Avalanche」に複数の脆弱性が明らかとなった。深刻な脆弱性も複数含まれており、一部はすでに詳細が公開されている。

同社はセキュリティアドバイザリを公開し、「同6.4.3」において27件の脆弱性に対処したことを明らかにしたもの。脆弱性へ対処するため、最新版にアップデートするよう強く推奨した。

なかでも、認証なしにリモートよりコマンドの実行が可能となるヒープオーバーフローの脆弱性「CVE-2024-24996」「CVE-2024-29204」は、共通脆弱性評価システム「CVSSv3」のベーススコアがともに「9.8」と高い。

さらにCVSS基本値が「8.8」とされる脆弱性12件を含む脆弱性13件が8点台、4件についても7点台と評価されている。

Ivantiでは協調的に脆弱性を解消し、アドバイザリを公開した現地時間4月16日の時点で悪用は確認されていないと説明しているが、「CVE-2024-29204」については、翌17日に脆弱性の報告者であるTenableより概念実証(PoC)が公開されており、注意が必要となる。

今回修正された脆弱性は以下のとおり。

CVE-2024-22061
CVE-2024-23526
CVE-2024-23527
CVE-2024-23528
CVE-2024-23529
CVE-2024-23530
CVE-2024-23531
CVE-2024-23532
CVE-2024-23533
CVE-2024-23534
CVE-2024-23535
CVE-2024-24991
CVE-2024-24992
CVE-2024-24993
CVE-2024-24994
CVE-2024-24995
CVE-2024-24996
CVE-2024-24997
CVE-2024-24998
CVE-2024-24999
CVE-2024-25000
CVE-2024-27975
CVE-2024-27976
CVE-2024-27977
CVE-2024-27978
CVE-2024-27984
CVE-2024-29204

(Security NEXT - 2024/04/22 ) このエントリーをはてなブックマークに追加

PR

関連記事

米当局、Windowsに対するゼロデイ攻撃に注意喚起
サイバー攻撃でシステム障害、影響など詳細を調査 - おやつカンパニー
Apple、「macOS Sequoia 15.3.2」や「Safari 18.3.1」をリリース
Apple、「iOS 18.3.2」など公開 - 旧iOSにゼロデイ攻撃の可能性
MSが3月の月例パッチを公開 - ゼロデイ脆弱性6件を修正
「Adobe Acrobat/Reader」に深刻な脆弱性 - アップデートが公開
「Firefox 136」がリリース - ESR版では「クリティカル」脆弱性を修正
2024年の不正アクセス届出166件 - 脆弱性や設定不備が標的に
「OpenText Identity Manager」の脆弱性に注意 - 認証情報漏洩のおそれ
「Ivanti EPM」「VeraCore」が脆弱性攻撃の標的に - 米当局が注意喚起