13 failles de sécurité critiques corrigées dans la solution MDM de chez Ivanti
La société Ivanti a mis en ligne des mises à jour de sécurité afin de corriger 13 failles de sécurité critiques dans sa solution de gestion des appareils mobiles (MDM) : Ivanti Avalanche. Quels sont les risques ? Faisons le point !
Remarque : Ivanti Avalanche est une solution de gestion des appareils mobiles prenant en charge jusqu'à 100 000 appareils et permettant de déployer des logiciels, mettre à jour l'OS, gérer l'ensemble des appareils managés depuis une console unique.
Du côté d'Ivanti, la fin d'année 2023 est synonyme d'énorme mise à jour de sécurité pour sa solution Avalanche. Il s'agit de vulnérabilités critiques dont "certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.", comme le précise l'avis du CERT-FR. En effet, il y a 9 failles de sécurité critique permettant une exécution de code à distance !
Ces vulnérabilités, signalées par les chercheurs en sécurité de Tenable et la Zero Day Initiative de Trend Micro, se situent dans le composant "WLAvalancheService" de la solution Avalanche.
Sachez que de nombreuses versions sont affectées : "Ces vulnérabilités affectent toutes les anciennes versions d'Avalanche (confirmées jusqu'à la version 6.3.1, mais toutes les versions 6.X sont probablement concernées).", peut-on lire sur le site officiel d'Ivanti.
Comment se protéger ?
Toutes les vulnérabilités de sécurité divulguées dans le bulletin de sécurité d'Ivanti sont désormais corrigées dans Avalanche en version v6.4.2.313. Si vous avez besoin d'aide pour mettre à jour votre instance Avalanche, vous pouvez consulter la documentation officielle d'Ivanti.
Il est à noter que cette mise à jour corrige 13 failles de sécurité critiques, mais également 8 vulnérabilités importantes et 1 vulnérabilité moyenne. Au total, il y a donc une petite vingtaine de vulnérabilités comblées !
Mettez à jour rapidement si vous utilisez cette solution.