Ivanti EPMM’yi etkileyen bir ayrıcalık yükseltme hatası olan CVE-2024-22026’ya ilişkin teknik ayrıntılar ve kavram kanıtlama (PoC) istismarı, güvenlik açığını bildiren kişi tarafından yayımlandı.
CVE-2024-22026 Hakkında
Ivanti Endpoint Manager Mobile (eski adıyla MobileIron Core), işletmeler tarafından mobil cihazların ve mobil uygulamaların yaşam döngüsünü güvenli bir şekilde yönetmek için kullanılır.
CVE-2024-22026, Redline Cyber Security’de güvenlik araştırmacısı olan Bryan Smith tarafından keşfedildi ve Ivanti EPMM v12.0 ve önceki sürümlerini etkiliyor.
Smith, “CVE-2024-22026, EPMM CLI’nin araç yükleme komutundaki yetersiz doğrulamadan kaynaklanıyor” diye açıkladı.
“EPMM CLI konsolu, ‘Araçları veya RPM’leri yükleme’ olanağını [install] emretmek. Daha fazla inceleme şunu gösteriyor: [install rpm url] bir RPM paketini, orijinalliğini doğrulamadan, kullanıcı tarafından sağlanan bir URL’den getirebilir.”
CVE-2024-22026 uzaktan yararlanılabilen bir güvenlik açığı değildir. Saldırganın öncelikle farklı bir güvenlik açığından yararlanarak veya güvenlik açığı bulunan bir kurulumla fiziksel olarak etkileşim kurarak EPMM’nin komut satırı arayüzüne erişmesi gerekir.
Bu tür bir erişime sahip olduklarında ve ayrıcalıklarını yükseltmek istediklerinde, root erişimine sahip yeni bir kullanıcı hesabı oluşturan bir komut dosyası içeren önceden hazırlanmış bir RPM paketini indirip bunlardan yararlanarak bunu yapabilirler.
“Useradd komutunun kabuğu şununla belirtmesi gerektiğine dikkat etmek önemlidir: [useradd -s /bin/sh]; aksi takdirde yeni kullanıcı hesabı oluşturulacak ancak kısıtlı CLI ortamında kalacaktır” diye belirtti Smith.
“Yeni oluşturulan hesabı kullanarak cihaza SSH göndermeye çalışmak, arka kapı hesabının oluşturulduğunu ve kullanıcının, cihazın temelindeki işletim sistemi ve koduna tam kök erişimine sahip olduğunu ve bu sayede, [/mobileiron.com/programs/com.mobileiron.core.base/bin/clish].”
Başarılı bir şekilde yararlanmanın sistemin tamamen tehlikeye girmesine, hassas verilere yetkisiz erişime yol açabileceği ve daha fazla ağa izinsiz giriş potansiyeli sunabileceği sonucuna vardı.
Ne yapalım?
CVE-2024-22026 ve iki SQL enjeksiyon hatası (CVE-2023-46806, CVE-2023-46807), Ivanti EPMM v12.1.0.0’da düzeltildi.
Ivanti, CVE-2024-22026’nın 12.0.0.0/1 ve 11.12.0.1 sürümlerinde de düzeltildiğini ve bu sürümler için önümüzdeki haftalarda bir yama aracılığıyla diğer iki kusura yönelik bir düzeltmenin mevcut olacağını söyledi. “Kamuya açıklanmadan önce herhangi bir müşterinin bu güvenlik açıklarından yararlandığını bilmiyoruz.”
Kötüye kullanım riskini azaltmak için yöneticilerin kurulumlarını mümkün olan en kısa sürede mevcut en son sürüme yükseltmeleri önerilir.