Ivanti製モバイル管理製品「Avalanche」に深刻な脆弱性 - 一部PoCが公開済み

Ivantiが提供するモバイルデバイスの管理ソリューション「Avalanche」に複数の脆弱性が明らかとなった。深刻な脆弱性も複数含まれており、一部はすでに詳細が公開されている。

同社はセキュリティアドバイザリを公開し、「同6.4.3」において27件の脆弱性に対処したことを明らかにしたもの。脆弱性へ対処するため、最新版にアップデートするよう強く推奨した。

なかでも、認証なしにリモートよりコマンドの実行が可能となるヒープオーバーフローの脆弱性「CVE-2024-24996」「CVE-2024-29204」は、共通脆弱性評価システム「CVSSv3」のベーススコアがともに「9.8」と高い。

さらにCVSS基本値が「8.8」とされる脆弱性12件を含む脆弱性13件が8点台、4件についても7点台と評価されている。

Ivantiでは協調的に脆弱性を解消し、アドバイザリを公開した現地時間4月16日の時点で悪用は確認されていないと説明しているが、「CVE-2024-29204」については、翌17日に脆弱性の報告者であるTenableより概念実証（PoC）が公開されており、注意が必要となる。

今回修正された脆弱性は以下のとおり。

CVE-2024-22061
CVE-2024-23526
CVE-2024-23527
CVE-2024-23528
CVE-2024-23529
CVE-2024-23530
CVE-2024-23531
CVE-2024-23532
CVE-2024-23533
CVE-2024-23534
CVE-2024-23535
CVE-2024-24991
CVE-2024-24992
CVE-2024-24993
CVE-2024-24994
CVE-2024-24995
CVE-2024-24996
CVE-2024-24997
CVE-2024-24998
CVE-2024-24999
CVE-2024-25000
CVE-2024-27975
CVE-2024-27976
CVE-2024-27977
CVE-2024-27978
CVE-2024-27984
CVE-2024-29204

（Security NEXT - 2024/04/22 ）ツイート

Ivanti製モバイル管理製品「Avalanche」に深刻な脆弱性 - 一部PoCが公開済み

関連リンク

PR

関連記事