Уязвимост в Ivanti Endpoint Manager: Активна експлоатация и критични заплахи

На 11 октомври 2024 г., Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) добави нова уязвимост, засягаща Ivanti Endpoint Manager (EPM)

Какво представлява уязвимостта?

CVE-2024-29824 получи оценка 9.6 по CVSS, което я прави критична заплаха. Уязвимостта е тип SQL Injection, открита в Core server на Ivanti EPM 2022 SU5 и по-ранни версии. Тя позволява на неавтентифициран атакуващ в същата мрежа да изпълнява произволен код на сървъра.

Ivanti публикува съобщение на 21 май 2024 г., в което обяснява, че проблемът е в неправилното обработване на SQL заявки в PatchBiz.dll, по-специално в функцията RecordGoodApp(). Тази грешка дава възможност на хакерите да използват SQL Injection за достъп до опасни команди чрез xp_cmdshell, позволявайки изпълнение на код на сървъра.

Как се експлоатира уязвимостта?

Макар че точните методи за експлоатация на уязвимостта все още не са напълно ясни, през юни 2024 г. изследователи от Horizon3.ai публикуваха proof-of-concept (PoC) експлойт, който демонстрира как точно SQL заявките могат да бъдат използвани за отдалечено изпълнение на код.

Този експлойт използва слабост в начина, по който функцията RecordGoodApp() обработва SQL заявките, позволявайки на атакуващия да вкара зловредни SQL команди, които накрая водят до изпълнение на код чрез xp_cmdshell.

Активна експлоатация

След последните доклади, Ivanti потвърди, че уязвимостта CVE-2024-29824 е била експлоатирана и че има ограничен брой клиенти, които са били цел на тези атаки. Това потвърждение подчертава, че уязвимостта вече е под активна експлоатация, което прави спешната корекция още по-необходима.

Какво трябва да направите?

Поради сериозния характер на тази уязвимост, CISA добави CVE-2024-29824 в своя KEV каталог, изисквайки федералните агенции да приложат корекции до 30 октомври 2024 г. Всички потребители на Ivanti EPM 2022 SU5 и по-ранни версии трябва незабавно да обновят до последните версии, за да избегнат потенциални атаки.

Уязвимостта CVE-2024-29824 представлява критична заплаха за организациите, които използват Ivanti Endpoint Manager. Със своите високи оценки за тежест и доказателства за активна експлоатация, тази уязвимост може да доведе до сериозни последици за сигурността на засегнатите системи. Обновете вашите системи възможно най-бързо и следете за допълнителни кръпки и актуализации от Ivanti.

Не позволявайте на тази уязвимост да стане входна точка за злонамерени атаки – вземете мерки още днес!