PoC-udnyttelse til Ivanti Endpoint Manager offentliggjort

Forskere fra Horizon3.ai har frigivet en proof-of-concept (PoC) exploit for fire sårbarheder i Ivanti Endpoint Manager (EPM), som udgør en væsentlig trussel for organisationer, der anvender løsningen til endpoint management. Det skriver HelpNet Security.

Sårbarhederne, der har id’erne CVE-2024-10811, CVE-2024-13161, CVE-2024-13160 og CVE-2024-13159, der alle har en CVSS-score på 9,8 udnytter en absolute path traversal-fejl, der gør det muligt at læse vilkårlige filer på serveren uden autentifikation.

Path traversal som angrebsvektor

Den offentliggjorte exploit demonstrerer, hvordan en fjernangriber kan få adgang til kritiske filer på serveren, hvilket potentielt kan føre til yderligere kompromittering. Især er CVE-2024-13159 interessant, skriver HelpNet security, da den kan bruges til at læse Ivanti EPM-databasefiler, hvilket kan afsløre autentifikationsoplysninger og andre følsomme data, der kan misbruges til forhøjelse af privilegier.

Udnyttelsen er mulig, fordi Ivanti EPM fejler i at filtrere og validere brugerinput korrekt, hvilket tillader angribere at anvende dot-dot-slash (../) sekvenser til at bryde ud af de tilladte filstier. I en klassisk exploit-kæde kan dette kombineres med credential stuffing eller service misconfiguration til at opnå yderligere adgang. 

En strategisk risiko

Som bekendt står universiteter med en særlig stor risiko, da miljøerne her typisk består af et højt antal endpoints, mange eksterne brugere og en kompleks netværksinfrastruktur. Ivanti EPM anvendes ofte til at administrere softwareopdateringer, enhedsopsætninger og sikkerhedspolitikker på store netværk, hvilket gør en kompromittering særligt skadelig.

Hvis en angriber kan udnytte sårbarhederne, kan konsekvenserne omfatte:

• Eksponering af følsomme data: Lækage af forskningsdata, eksamensresultater eller personfølsomme oplysninger.
• Manipulation af endpoint-konfigurationer: Angribere kan ændre softwareinstallationer eller udrulle skadelige scripts via EPM.
• Persistens på netværket: Med adgang til EPM kan en angriber potentielt implementere bagdøre på administrerede enheder.

Defensive tiltag 

Selvom Ivanti har frigivet rettelser i form af EPM 2024 January-2025 Security Update og EPM 2022 SU6 January-2025 Security Update, bør organisationer ikke nøjes med at patche. Et stærkere forsvar bør inkludere:

1. Segmentering af netværk: Begræns adgangen til EPM-servere med strikse firewall-regler og Zero Trust-tilgang.
2. Overvågning af logfiler: Identificér forsøg på path traversal eller uautoriseret adgang til konfigurationsfiler.
3. Indskrænkning af fil- og databaseadgang: Selv hvis en angriber kan læse filer, bør adgang til kritiske data være stærkt begrænset med kryptering og adganger efter mindst privilegium-princippet.
4. Styrket autentifikation: Sikr, at administrative konti bruger multifaktorautentifikation (MFA) og rotation af adgangskoder.

Selvom disse sårbarheder primært giver mulighed for dataeksfiltration snarere end direkte fjernafvikling af kode, kan eksponerede oplysninger nemt udnyttes til efterfølgende angreb. 

Som det altid er med sikkerhed, viser sagen her hvor vigtigt det er at have en flerlaget tilgang til sikkerhed. 

Som det fremgår af CVE-numrene blev sårbarhederne rapporteret i oktober 2024. Ivantis sikkerhedsopdatering fra januar 2025 til EPM 2024 og 2022 SU6 adresserer alle fire sårbarheder. Men da den første opdatering forårsagede problemer med Windows Action, udsendte Ivanti en anden version af opdateringen. Organisationer anbefales at installere den anden version, uanset om de tidligere har installeret den første patch eller ej.