【安全资讯】Ivanti关键RCE漏洞利用代码发布，立即修补

概要：

Ivanti Endpoint Manager中的一个关键远程代码执行（RCE）漏洞CVE-2024-29847的概念验证（PoC）利用代码现已公开发布，迫使用户必须立即更新设备。该漏洞的披露和利用可能会导致广泛的网络攻击，影响全球众多企业和组织。

主要内容：

该漏洞是由于Ivanti Endpoint Manager在处理不受信任数据反序列化时存在安全问题，影响2022 SU6之前的版本和EPM 2024。该漏洞由安全研究员Sina Kheirkhah发现，并通过Zero Day Initiative（ZDI）报告。Kheirkhah现已公开了CVE-2024-29847的详细利用方法，这可能会引发实际攻击。

漏洞的根本原因在于AgentPortal.exe可执行文件中的不安全反序列化，特别是在服务的OnStart方法中，该方法使用已弃用的Microsoft .NET Remoting框架进行远程对象通信。服务注册了一个动态分配端口的TCP通道，没有安全措施，使远程攻击者可以注入恶意对象。攻击流程涉及构建包含序列化对象的Hashtable并发送到易受攻击的端点，反序列化后通过调用DirectoryInfo或FileInfo对象的方法执行任意操作。

Ivanti已为EPM 2022和2024发布了安全“热修补”，分别在SU6和2024年9月更新中修复了该漏洞。供应商没有提供其他缓解措施或替代方案，因此应用安全更新是唯一的建议。CISA在1月警告称，Ivanti的Endpoint Manager Mobile产品中存在一个关键身份验证绕过漏洞，已被积极利用。上周，Ivanti确认黑客正在积极利用其Cloud Services Appliance（CSA）中的一个高严重性RCE漏洞CVE-2024-8190。CISA也将该漏洞添加到其已知利用漏洞目录中，要求在2024年10月4日前修补易受攻击的设备。