【已复现】Ivanti Endpoint Manager 反序列化致远程代码执行漏洞(CVE-2024-29847)
2024-9-20 20:19:29 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

Ivanti Endpoint Manager(EPM) 是一款企业级的设备管理解决方案,提供设备配置、补丁管理和软件分发等功能。

2024 年 9 月,互联网公开披露了该系统中的一个远程代码执行漏洞(CVE-2024-29847)。经分析,攻击者可以利用该漏洞在无需用户交互的情况下,执行远程代码获得服务器的最高权限,建议受影响的客户尽快修复漏洞。

漏洞描述
 Description 
01

漏洞成因

在 EPM 的 AgentPortal 服务中,存在一个严重的未经身份验证的远程代码执行漏洞(CVE-2024-29847)。该漏洞的根本原因是服务在启动时不安全地注册了 .NET Remoting 的 TcpChannel,且未正确设置安全参数(未启用安全通道,TypeFilterLevel 设置为 Low)。这导致攻击者可以利用 .NET Remoting 的不安全反序列化,通过发送精心构造的恶意数据包,绕过安全检查,在服务器上执行任意代码。

漏洞影响

成功利用该漏洞的攻击者可以实现远程代码执行,控制受影响的服务器,潜在的危害包括数据泄露、系统崩溃,甚至可能被用于传播勒索等恶意软件。

处置优先级:高

漏洞类型:反序列化

漏洞危害等级:严重

权限认证要求:网络远程

系统配置要求:默认配置可利用

用户交互要求:无需用户交互

利用成熟度:POC/EXP已公开

批量可利用性:可使用通用 POC/EXP,批量检测/利用

修复复杂度:中等,官方提供补丁修复方案

影响版本
 Affects 
03
version < 2022SU6
version < 2024 September Update
解决方案
 Solution 
04

升级修复方案

仅对可信来源开放EPM的AgentPortal服务端口,需要注意该服务指示系统选择任何可用的端口(TcpChannel(0)),因此每次都会在随机端口上监听。

临时缓解方案

官方已发布升级补丁包,可以在Ivanti官网下载使用https://forums.ivanti.com/s/article/Security-Advisory-EPM-September-2024-for-EPM-2024-and-EPM-2022
Ivanti Endpoint Manager 2024:请尽快安装相关的安全补丁,或者将软件升级至 2024 SU1 或更高版本。
Ivanti Endpoint Manager 2022:建议升级到 2022 SU6 或更高的版本。
产品支持
 Support 
06

云图:默认支持该产品的指纹识别。

雷池:非HTTP流量,不支持检测。

全悉:已发布规则升级包支持该漏洞利用行为的检测。

时间线
 Timeline 
07

9月10日 官方发布漏洞公告与漏洞补丁

9月15日 漏洞POC在互联网上公开

9月20日 长亭应急响应中心发布通告

参考资料:

[1].https://forums.ivanti.com/s/article/Security-Advisory-EPM-September-2024-for-EPM-2024-and-EPM-2022

[2].https://summoning.team/blog/ivanti-epm-cve-2024-29847-deserialization-rce/

[3].https://github.com/sinsinology/CVE-2024-29847

长亭应急响应服务

全力进行产品升级

及时将风险提示预案发送给客户

检测业务是否受到此次漏洞影响

请联系长亭应急服务团队

7*24小时,守护您的安全

第一时间找到我们:

邮箱:[email protected]

应急响应热线:4000-327-707


文章来源: https://mp.weixin.qq.com/s?__biz=MzIwMDk1MjMyMg==&mid=2247492637&idx=1&sn=902b7d00667aae6392217033d7241912&chksm=96f7fb70a180726656d4f57bcfecd7b45dbc6cf43dc805d5c5052e355dd8eada1b48d774f487&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh