Ivanti Endpoint Manager(EPM) 是一款企业级的设备管理解决方案,提供设备配置、补丁管理和软件分发等功能。
2024 年 9 月,互联网公开披露了该系统中的一个远程代码执行漏洞(CVE-2024-29847)。经分析,攻击者可以利用该漏洞在无需用户交互的情况下,执行远程代码获得服务器的最高权限,建议受影响的客户尽快修复漏洞。
Ivanti Endpoint Manager(EPM) 是一款企业级的设备管理解决方案,提供设备配置、补丁管理和软件分发等功能。
2024 年 9 月,互联网公开披露了该系统中的一个远程代码执行漏洞(CVE-2024-29847)。经分析,攻击者可以利用该漏洞在无需用户交互的情况下,执行远程代码获得服务器的最高权限,建议受影响的客户尽快修复漏洞。
漏洞成因
在 EPM 的 AgentPortal 服务中,存在一个严重的未经身份验证的远程代码执行漏洞(CVE-2024-29847)。该漏洞的根本原因是服务在启动时不安全地注册了 .NET Remoting 的 TcpChannel,且未正确设置安全参数(未启用安全通道,TypeFilterLevel 设置为 Low)。这导致攻击者可以利用 .NET Remoting 的不安全反序列化,通过发送精心构造的恶意数据包,绕过安全检查,在服务器上执行任意代码。
成功利用该漏洞的攻击者可以实现远程代码执行,控制受影响的服务器,潜在的危害包括数据泄露、系统崩溃,甚至可能被用于传播勒索等恶意软件。
处置优先级:高
漏洞类型:反序列化
漏洞危害等级:严重
权限认证要求:网络远程
系统配置要求:默认配置可利用
用户交互要求:无需用户交互
利用成熟度:POC/EXP已公开
批量可利用性:可使用通用 POC/EXP,批量检测/利用
修复复杂度:中等,官方提供补丁修复方案
version < 2022SU6 version < 2024 September Update
仅对可信来源开放EPM的AgentPortal服务端口,需要注意该服务指示系统选择任何可用的端口(TcpChannel(0)),因此每次都会在随机端口上监听。
云图:默认支持该产品的指纹识别。
雷池:非HTTP流量,不支持检测。
全悉:已发布规则升级包支持该漏洞利用行为的检测。
9月10日 官方发布漏洞公告与漏洞补丁
9月15日 漏洞POC在互联网上公开
9月20日 长亭应急响应中心发布通告
参考资料:
[1].https://forums.ivanti.com/s/article/Security-Advisory-EPM-September-2024-for-EPM-2024-and-EPM-2022
[2].https://summoning.team/blog/ivanti-epm-cve-2024-29847-deserialization-rce/
[3].https://github.com/sinsinology/CVE-2024-29847
全力进行产品升级
及时将风险提示预案发送给客户
检测业务是否受到此次漏洞影响
请联系长亭应急服务团队
7*24小时,守护您的安全
第一时间找到我们:
应急响应热线:4000-327-707