В сети появился PoC-эксплоит для критической уязвимости удаленного выполнения кода (CVE-2024-29847) в Ivanti Endpoint Manager. Также в компании предупредили, что другая уязвимость в Ivanti Cloud Services Appliance (CSA) уже находится под атаками.
CVE-2024-29847 представляет собой проблему десериализации недоверенных данных, затрагивающую Ivanti Endpoint Manager до версий 2022 SU6 и EPM 2024. Этот баг был устранен совсем недавно — 10 сентября 2024 года.
Проблема была обнаружена ИБ-исследователем Синой Хейрхахом (Sina Kheirkhah), который уведомил о ней разработчиков через Zero Day Initiative еще 1 мая 2024 года. Теперь, когда патч наконец выпущен, исследователь опубликовал полную информацию о баге и том, как можно его эксплуатировать, что, вероятно, поспособствует использованию CVE-2024-29847 хакерами.
Эксперт рассказал, что корень проблемы кроется в небезопасной десериализации в исполняемом файле AgentPortal.exe, а именно в методе OnStart службы и использовании устаревшего фреймворка Microsoft .NET Remoting для обеспечения связи между удаленными объектами.
Так, служба регистрирует TCP-канал с динамически назначаемыми портами и не обеспечивает должную защиту, что позволяет удаленному злоумышленнику осуществлять инъекции вредоносных объектов. В конечном итоге атакующий получает возможность выполнять на сервере файловые операции (чтение и запись файлов), в том числе с веб-шеллами, которые могут выполнить произвольный код.
Хейрхах отмечает, что low-type фильтр может ограничить возможности десериализации объектов, однако, используя технику, описанную Джеймсом Форшоу (James Forshaw), этот защитный механизм можно обойти.
https://xakep.ru/wp-content/uploads/...oting-full.jpg
Также стоит отметить, что на прошлой неделе разработчики Ivanti предупредили, что другая свежая уязвимость (CVE-2024-8190) в продукте Cloud Services Appliance уже активно используется в атаках.
Как сообщил производитель, эта проблема позволяет удаленным аутентифицированным злоумышленникам с административными привилегиями добиться удаленного выполнения кода путем инъекции команд на уязвимых устройствах под управлением Ivanti CSA 4.6 и более ранних версий.
После раскрытия данных об этой проблеме 10 сентября 2024 года сразу несколько клиентов Ivanti сообщили, что дефект уже используется в атаках, подробностей о которых пока нет.
Хотя был выпущен фикс CSA 4.6 Patch 519, представители Ivanti рекомендовали клиентам перейти с версии CSA 4.6.x (которая уже не поддерживается) на версию CSA 5.0 (*все еще поддерживается). Также отмечается, что использование dual-homed конфигураций CSA с ETH-0 в качестве внутренней сети значительно снижает риск эксплуатации этой проблемы.
https://xakep.ru/2024/09/17/ivanti-new-flaws/