研究人员针对最近披露的 Ivanti Endpoint Manager 中的一个严重漏洞开发出了一种概念验证 (PoC) 漏洞利用程序,这可能为大规模利用这些设备奠定基础。
CVE-2024-29824 是一个 SQL 注入漏洞,最初由一名独立研究人员发现,并出售给趋势科技的 Zero Day Initiative (ZDI)。ZDI于 4 月 3 日向 Ivanti 通报了此问题。
它影响了公司的集中式端点管理解决方案,对于任何有兴趣从一个启动点入侵整个组织的许多设备的黑客来说,这都是一个有吸引力的目标。该问题允许未经身份验证的攻击者在程序中执行远程代码执行 (RCE),使其获得了 9.8 分(满分 10 分)的 CVSS 评分。
“Endpoint Manager 通常被提升,因此这实际上允许你接管 Ivanti 系统,”ZDI 威胁意识主管 Dustin Childs 说道。“从那里,他们将能够影响其他系统并执行你使用 Endpoint Manager 执行的任何操作。”
具体漏洞在于“RecordGoodApp”,这是程序核心服务器中包含的动态链接库 (DLL) 文件中名为“PatchBiz”的一种方法。正如 Horizon3.ai 在 GitHub 上发布 PoC 的一篇新博客文章中所述,攻击者可以利用 RecordGoodApp 的第一个字符串,该字符串在构建 SQL 查询之前没有充分验证用户输入的数据。他们通过向处理事件的端点发送一个“相当简单”的请求来证明这一点,说服它运行 Windows 记事本。
Ivanti 的回应
网络安全史上很少有组织像今年的Ivanti 一样受到严厉批评。起初只有几个零日漏洞,然后又出现了一个,然后是很多。补丁陆续推出,漏洞数量激增,包括一些特别引人注目的案例。然后,就在负面新闻终于开始平息时,这个最新的漏洞出现了,它对企业的风险与之前的任何漏洞一样大。
好消息是:Childs 强调,尽管 Ivanti 最近遇到了麻烦,但它还是按照规定处理了这一最新的漏洞。
“我们不需要说服他们(打补丁)。我们向他们报告了情况,他们立即着手处理。他们在六周内就打出了补丁。这大概就是你能看到的最好成绩了,”他说。“所以是的,他们今年遇到了很多安全问题,但他们在及时解决这些问题方面取得了巨大进步。”
Ivanti 于 5 月 24 日在披露 CVE-2024-29824 的同时发布了该漏洞的补丁。尚未实施该补丁的客户最好尽快实施,因为威胁行为者有利用 Ivanti 漏洞的历史,而可用且有效的 PoC 可能会进一步刺激他们。
除了修补之外,组织还可以专注于保护其管理界面免受更广泛的网络攻击。“确保如果您的端点管理器可以通过互联网访问,请将其限制在一些[受信任的]特定 IP 地址上,”Childs 说。
发表评论
您还未登录,请先登录。
登录