Araştırmacılar, Ivanti Endpoint Manager’da yakın zamanda açıklanan kritik bir güvenlik açığı için bir kavram kanıtlama (PoC) istismarı geliştirdi; bu, potansiyel olarak cihazların toplu olarak kullanılmasına zemin hazırlıyor.
Bir SQL enjeksiyon hatası olan CVE-2024-29824, ilk olarak bağımsız bir araştırmacı tarafından keşfedildi ve Trend Micro’nun Zero Day Initiative’ine (ZDI) satıldı. ZDI Ivanti’ye konuyu bildirdi 3 Nisan’da.
Bu, şirketin merkezi uç nokta yönetimi çözümünü etkiliyor; bu, tek bir başlangıç noktasından bir kuruluştaki birçok cihazın güvenliğini ihlal etmekle ilgilenen her bilgisayar korsanı için cazip bir hedef. Sorun, kimliği doğrulanmamış saldırganların programda uzaktan kod yürütme (RCE) gerçekleştirmesine olanak tanıyor ve programa 10 CVSS puanı üzerinden 9,8 gibi kritik bir puan kazandırıyor.
ZDI tehdit farkındalığı başkanı Dustin Childs, “Uç Nokta Yöneticisi genellikle yükseltilir, dolayısıyla bu gerçekten bir Ivanti sistemini devralmanıza olanak tanır” diyor. “Bundan sonra diğer sistemleri etkileyebilecekler ve Endpoint Manager’ı kullanarak yaptığınız her şeyi yapabilecekler.”
Spesifik kusur, programın çekirdek sunucusunda bulunan “PatchBiz” adlı dinamik bağlantı kitaplığı (DLL) dosyasındaki bir yöntem olan “RecordGoodApp”te yatıyordu. Bir şekilde özetlendiği gibi yeni blog yazısı GitHub’da PoC’yi yayınlayan Horizon3.ai’den bir saldırgan, SQL sorguları oluşturmadan önce kullanıcı giriş verilerini yeterince doğrulamayan RecordGoodApp’in ilk dizesinden yararlanabilir. Olayları işleyen bir uç noktaya “oldukça önemsiz” bir istek göndererek ve onu Windows Not Defteri’ni çalıştırmaya ikna ederek bunu gösterdiler.
Ivanti’nin Yanıtı
Siber güvenlik tarihinde çok az kuruluş Ivanti gibi göreve alındı bu yıl. Başlangıçta vardı birkaç sıfır gün güvenlik açığıDaha sonra bir diğerDaha sonra çok daha fazlası. Yamalar yavaş yavaş eklendi Ve istismarlar hızla arttıbazıları dahil özellikle yüksek profilli vakalar. Daha sonra, tam da kötü haberlerin nihayet azalmaya başladığı sırada, şirketler için daha önce ortaya çıkanlarla aynı düzeyde risk oluşturan bu son güvenlik açığı ortaya çıktı.
İyi haber: Childs, Ivanti’nin son zamanlardaki sorunlarına rağmen bu son güvenlik açığını kitabına göre ele aldığını vurguluyor.
“Onları ikna etmemiz gerekmiyor [to patch]. Durumu kendilerine bildirdik, hemen ilgilendiler. Altı hafta içinde bir yama ürettiler. Bu, göreceğiniz kadar iyi bir şey” diyor ve şöyle devam ediyor: “Yani evet, bu yıl çok fazla güvenlik sorunu yaşadılar, ancak bu sorunları çok zamanında çözme konusunda muazzam ilerlemeler kaydettiler.”
Ivanti, 24 Mayıs’taki açıklamasının yanı sıra CVE-2024-29824 için bir yama yayınladı. Tehdit aktörlerinin zaten Ivanti’deki güvenlik açıklarını biriktirme geçmişi olduğundan ve henüz yapmamış olan müşterilerin bunu mümkün olan en kısa sürede uygulaması tavsiye edilir. mevcut, çalışan PoC muhtemelen onları daha da teşvik edecektir.
Yama uygulamasının yanı sıra kuruluşlar, yönetim arayüzlerini daha geniş Web’den korumaya da odaklanabilirler. “Uç Nokta Yöneticiniz İnternet’ten erişilebilirse, onu çok özel bazı IP adresleriyle sınırladığınızdan emin olun. [trusted]” diyor Childs.