Ivanti Endpoint Manager’daki kritik bir uzaktan kod yürütme (RCE) güvenlik açığı olan CVE-2024-29847 için bir kavram kanıtı (PoC) istismarı artık kamuoyuna açıklandı ve bu durum cihazları güncellemeyi önemli hale getiriyor.
Bu kusur, 10 Eylül 2024’te Eylül 2024 güncellemesinin bir parçası olarak düzeltilen, 2022 SU6 ve EPM 2024 öncesi Ivanti Endpoint Manager’ı etkileyen güvenilmeyen verilerin seri hale getirilmesi sorunudur.
Güvenlik açığı, güvenlik araştırmacısı Sina Kheirkhah (@SinSinology) tarafından keşfedildi ve 1 Mayıs 2024’te Zero Day Initiative (ZDI) aracılığıyla bildirildi.
Aynı araştırmacı, CVE-2024-29847’nin nasıl istismar edilebileceğine dair tüm detayları yayınladı ve bu durumun vahşi doğada saldırıları körüklemesi muhtemel.
CVE-2024-29847 hatası
Hatanın temel nedeni, AgentPortal.exe yürütülebilir dosyasındaki güvenli olmayan serileştirmeden, özellikle de uzak nesneler arasındaki iletişimi kolaylaştırmak için kullanımdan kaldırılmış Microsoft .NET Remoting çerçevesini kullanan hizmetin OnStart yönteminden kaynaklanmaktadır.
Servis, dinamik olarak atanmış portlara sahip bir TCP kanalı kaydeder ve herhangi bir güvenlik uygulaması yapmaz; bu da uzaktaki bir saldırganın kötü amaçlı nesneler enjekte etmesini mümkün kılar.
Kheirkhah’ın saldırı akışı, savunmasız uç noktaya gönderilmek üzere serileştirilmiş nesneler içeren bir Hashtable oluşturmayı ve serileştirme sırasında DirectoryInfo veya FileInfo nesnelerindeki yöntemleri çağırarak keyfi işlemleri yürütmeyi içerir.
Bunlar saldırganın sunucuda dosya okuma veya yazma gibi dosya işlemlerini gerçekleştirmesine olanak tanır; buna, keyfi kod çalıştırabilen web kabukları da dahildir.
Yazıda, düşük tipli bir filtrenin hangi nesnelerin serileştirilebileceğini kısıtladığı belirtiliyor. Ancak, James Forshaw tarafından açıklanan bir teknik kullanılarak, güvenlik mekanizmasını atlatmak mümkün.
Şimdi yama yapın!
Ivanti, EPM 2022 ve 2024 için SU6 ve Eylül 2024 güncellemeleriyle birlikte bir güvenlik ‘sıcak yaması’ yayınladı.
Satıcı başka bir azaltma veya geçici çözüm sunmadığından, bültende yer alan güvenlik güncellemesini uygulamak tek öneridir.
Ocak ayında CISA, Ivanti’nin Endpoint Manager Mobile ürünündeki kritik bir kimlik doğrulama atlama açığının saldırılarda aktif olarak kullanıldığı konusunda uyarıda bulunmuştu.
Geçtiğimiz hafta Ivanti, bilgisayar korsanlarının Bulut Hizmetleri Cihazında (CSA) CVE-2024-8190 olarak izlenen yüksek öneme sahip uzaktan kod yürütme açığını aktif olarak kullandıklarını doğruladı.
CISA ayrıca bu açığı Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekleyerek, güvenlik açığı bulunan cihazların güvenliğinin sağlanması için son tarihi 4 Ekim 2024 olarak belirledi.