【安全资讯】Ivanti关键RCE漏洞利用代码发布,立即修补
概要:
Ivanti Endpoint Manager中的一个关键远程代码执行(RCE)漏洞CVE-2024-29847的概念验证(PoC)利用代码现已公开发布,迫使用户必须立即更新设备。该漏洞的披露和利用可能会导致广泛的网络攻击,影响全球众多企业和组织。主要内容:
该漏洞是由于Ivanti Endpoint Manager在处理不受信任数据反序列化时存在安全问题,影响2022 SU6之前的版本和EPM 2024。该漏洞由安全研究员Sina Kheirkhah发现,并通过Zero Day Initiative(ZDI)报告。Kheirkhah现已公开了CVE-2024-29847的详细利用方法,这可能会引发实际攻击。漏洞的根本原因在于AgentPortal.exe可执行文件中的不安全反序列化,特别是在服务的OnStart方法中,该方法使用已弃用的Microsoft .NET Remoting框架进行远程对象通信。服务注册了一个动态分配端口的TCP通道,没有安全措施,使远程攻击者可以注入恶意对象。攻击流程涉及构建包含序列化对象的Hashtable并发送到易受攻击的端点,反序列化后通过调用DirectoryInfo或FileInfo对象的方法执行任意操作。
Ivanti已为EPM 2022和2024发布了安全“热修补”,分别在SU6和2024年9月更新中修复了该漏洞。供应商没有提供其他缓解措施或替代方案,因此应用安全更新是唯一的建议。CISA在1月警告称,Ivanti的Endpoint Manager Mobile产品中存在一个关键身份验证绕过漏洞,已被积极利用。上周,Ivanti确认黑客正在积极利用其Cloud Services Appliance(CSA)中的一个高严重性RCE漏洞CVE-2024-8190。CISA也将该漏洞添加到其已知利用漏洞目录中,要求在2024年10月4日前修补易受攻击的设备。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享