Скорее обновляться: эксплойт для RCE в Ivanti EPM активно гуляет по сети

Брешь в безопасности позволяет злоумышленникам получить полный контроль над системой.


920kxjx38kplz46al6u6e6pt2atqxiv6.jpg


Исследователи опубликовали PoC - эксплойт для критической уязвимости в Ivanti Endpoint Manager ( CVE-2024-29847 , оценка CVSS: 9.8), которая позволяет удалённое выполнение кода ( RCE ). Эксплойт уже находится в открытом доступе, что делает особенно важным своевременное обновление устройств для защиты от возможных атак.

Уязвимость связана с проблемой десериализации ненадёжных данных, которая затрагивает версии Ivanti Endpoint Manager до 2022 SU6 и EPM 2024. Детали уязвимости были обнаружены исследователем безопасности Синой Хейрхой (@SinSinology) и сообщены через Zero Day Initiative ( ZDI ) 1 мая 2024 года. Недавно он опубликовал подробное описание механизма эксплуатации этой уязвимости, что может привести к росту числа атак в ближайшее время.

Уязвимость возникает из-за небезопасной десериализации в компоненте AgentPortal.exe, а именно в методе OnStart. Этот метод использует устаревшую технологию Microsoft.NET Remoting для связи удалённых объектов, открывая возможность для злоумышленников вводить вредоносные объекты в систему.

Атака включает отправку специально созданных сериализованных объектов на уязвимый сервер, что позволяет злоумышленнику выполнять произвольные операции, включая чтение или запись файлов. Это может привести к установке веб-оболочек для выполнения кода на сервере.

Хотя в уязвимом компоненте присутствуют ограничения на десериализацию определённых объектов, исследователь Хейрхой описал способ обхода этой защиты, что делает эксплуатацию уязвимости ещё более опасной.

10 сентября Ivanti выпустила срочные обновления безопасности для версий EPM 2022 и 2024, которые устраняют данную проблему. На данный момент других способов смягчения угрозы, кроме установки обновлений, не предлагается, в связи с чем всем клиентам настоятельно рекомендуется обновить свои системы как можно скорее.