Ssylka

Как уязвимости Ivanti и SAP ставят под угрозу корпоративные сети и данные?

Компания Ivanti выпустила экстренные обновления безопасности для устранения критических уязвимостей в своем Endpoint Manager (EPM) и других продуктах. Одновременно с этим, SAP также представила исправления для серьезных брешей в системе безопасности NetWeaver ABAP Server и ABAP Platform. Эти события подчеркивают постоянную необходимость бдительности в отношении кибербезопасности и своевременного применения патчей.
Как уязвимости Ivanti и SAP ставят под угрозу корпоративные сети и данные?
Изображение носит иллюстративный характер

Основное внимание в случае Ivanti уделено Endpoint Manager (EPM), где обнаружены четыре критические уязвимости. Эти недостатки, выявленные исследователем безопасности Заком Ханли из , получили максимальный балл CVSS 9.8 из 10. Ошибки типа обхода абсолютного пути позволяют удаленным неавторизованным злоумышленникам получить доступ к конфиденциальной информации. Конкретные идентификаторы CVE для этих уязвимостей: CVE-2024-10811, CVE-2024-13161, CVE-2024-13160 и CVE-2024-13159. Уязвимыми оказались версии EPM 2024 до ноябрьского обновления и EPM 2022 SU6 также до ноябрьского обновления. Для устранения проблемы выпущены патчи EPM 2024 January-2025 Security Update и EPM 2022 SU6 January-2025 Security Update.

Помимо EPM, также пострадали Avalanche и Application Control Engine от Ivanti. В Avalanche были найдены уязвимости высокой степени опасности в версиях до 6.4.7, позволяющие злоумышленникам обходить аутентификацию, получать утечку данных и обходить блокировку. Аналогичные проблемы, связанные с обходом аутентификации, утечкой информации и обходом блокировки, были обнаружены в Application Control Engine в версиях до 10.14.4.0. Компания Ivanti не имеет информации об эксплуатации этих уязвимостей в реальных условиях, но она уже предприняла шаги по усилению внутреннего сканирования и тестирования.

SAP также столкнулась с серьезными вызовами в области безопасности. В NetWeaver ABAP Server и ABAP Platform выявлены две критические уязвимости, получившие оценку CVSS 9.9. Эти недостатки связаны с ненадлежащими проверками аутентификации, позволяющими авторизованным злоумышленникам повышать свои привилегии и получать доступ к ограниченной информации из-за слабых механизмов контроля доступа. Эти уязвимости имеют идентификаторы CVE-2025-0070 и CVE-2025-0066. SAP настоятельно рекомендует немедленно установить патчи из Support Portal, выпущенные в январе 2025 года.

Ключевые выводы из этой ситуации очевидны. Множественные критические уязвимости в продуктах Ivanti и SAP представляют серьезную угрозу для безопасности корпоративных сетей и данных. Особенно тревожными являются недостатки в EPM, которые позволяют удаленным атакующим получить доступ к конфиденциальной информации. Исследования Зака Ханли сыграли важную роль в обнаружении проблем у Ivanti. И Ivanti, и SAP предпринимают шаги для устранения этих уязвимостей. Высокий рейтинг CVSS для этих уязвимостей подчеркивает необходимость своевременного применения обновлений безопасности для программного обеспечения.


Новое на сайте

15287Жидкость, восстанавливающая форму: нарушение законов термодинамики 15286Аркадия ведьм: загадка Чарльза годфри Леланда и её влияние на современную магию 15285Кто станет новым героем Звёздных войн в 2027 году? 15283Ануше Ансари | Почему космические исследования важны для Земли 15282Гизем Гумбуская | Синтетический морфогенез: самоконструирующиеся живые архитектуры по... 15281Как предпринимателю остаться хозяином своей судьбы? 15280Люси: путешествие к древним обломкам солнечной системы 15279Роберт Лиллис: извлеченные уроки для экономически эффективных исследований дальнего... 15278Почему супермен до сих пор остаётся символом надежды и морали? 15277Райан Гослинг в роли нового героя «Звёздных войн»: что известно о фильме Star Wars:... 15276Почему экваториальная Гвинея остаётся одной из самых закрытых и жестоких диктатур мира? 15275Почему морские слизни становятся ярче под солнцем? 15274Глен Вейль | Можем ли мы использовать ИИ для построения более справедливого общества? 15273Лириды: где и как увидеть древний звездопад в этом апреле? 15272Сдержит ли налог на однодневных туристов в Венеции наплыв гостей?