Siber Güvenlik ve Altyapı Güvenliği Ajansı, hatayı Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekleyerek, Ivanti Endpoint Manager (EPM) cihazlarındaki kimliği doğrulanmamış bir SQL Enjeksiyon güvenlik açığı olan CVE-2024-29824’ün saldırganlar tarafından kullanıldığını doğruladı.
Ivanti, sınırlı sayıda müşterinin istismar edildiğinin farkında olduklarını söyleyerek ilgili güvenlik tavsiyesini güncelleyerek de aynısını yaptı. Saldırılarla ilgili daha fazla ayrıntı şu anda mevcut değil.
CVE-2024-29824 Hakkında
Zero Day Initiative programı aracılığıyla anonim bir araştırmacı tarafından bildirilen CVE-2024-29824, Ivanti’nin Mayıs 2024’te bir düzeltme yayınladığı on SQL enjeksiyon güvenlik açığından biridir.
Bunların hepsi Ivanti EPM 2022 SU5 ve önceki sürümlerin çekirdek sunucusunu etkiliyor, hizmet hesabı bağlamında kod yürütülmesine yol açabiliyor ve hepsi bir güvenlik düzeltme eki aracılığıyla düzeltildi.
ZDI’nın danışma belgesi, CVE-2024-29824’ü, RecordGoodApp yöntemidir ve kullanıcı tarafından sağlanan bir dizenin SQL sorguları oluşturmak için kullanılmadan önce uygun şekilde doğrulanmamasından kaynaklanmaktadır.
Bu, Horizon3.ai araştırmacılarını doğru yöne yönlendirmek için yeterliydi ve Haziran 2024’te güvenlik açığı ve PoC istismarına ilişkin teknik ayrıntıları yayınladılar.
Ne yapalım?
CVE-2024-29824’ün KEV kataloğuna eklenmesi, tüm ABD federal sivil yürütme organı kurumlarının bunu 23 Ekim 2024’e kadar düzeltmesi gerektiği anlamına geliyor.
Ivanti tarafından sağlanan yama, çekirdek sunucudaki beş DLL dosyasının, yamada bulunan diğer beş DLL dosyasıyla (aynı adı taşıyan) değiştirilmesiyle uygulanır. Yeni DLL dosyalarının yüklenmesi için çekirdek sunucunun yeniden başlatılması veya EPM konsolunun kapatılması ve IISRESET’in (IIS hizmetlerinin yeniden başlatılmasına yönelik bir komut) çalıştırılmasıyla işlemin tamamlanması gerekir.
Ivanti, tavsiye niteliğindeki ilk yayının ardından gelen (belirsiz) bir tarihte yamada değişiklikler yaptı ve kullanıcıları bazı dosyaları güncellemeye veya daha önce yapmamışlarsa yeni yamayı uygulamaya çağırdı. Bu yüzden tavsiyeyi kontrol edin ve yapılması gerekeni yapın.