Išleistas išnaudojimo kodas dėl kritinio Ivanti RCE trūkumo, pataisykite dabar


Koncepcijos įrodymo (PoC) išnaudojimas, skirtas CVE-2024-29847, kritinio nuotolinio kodo vykdymo (RCE) pažeidžiamumui Ivanti Endpoint Manager, dabar yra viešai išleistas, todėl itin svarbu atnaujinti įrenginius.

Trūkumas yra nepatikimų duomenų problemos, turinčios įtakos „Ivanti Endpoint Manager“ iki 2022 m. SU6 ir EPM 2024, deserializavimas, kuris buvo ištaisytas 2024 m. rugsėjo 10 d. atnaujinant 2024 m.

Pažeidžiamumą aptiko saugumo tyrinėtoja Sina Kheirkhah (@SinSinology), kuri apie tai pranešė per Nulinės dienos iniciatyvą (ZDI) 2024 m. gegužės 1 d.

Tas pats tyrėjas dabar paskelbė visą informaciją apie tai, kaip galima išnaudoti CVE-2024-29847, kuris greičiausiai paskatins atakas laukinėje gamtoje.

CVE-2024-29847 trūkumas

Pagrindinė trūkumo priežastis yra nesaugi vykdomojo failo AgentPortal.exe deserializacija, ypač paslaugos OnStart metodas, kuris naudoja nebenaudojamą Microsoft .NET Remoting sistemą, kad palengvintų ryšį tarp nuotolinių objektų.

Paslauga registruoja TCP kanalą su dinamiškai priskirtais prievadais ir be saugumo užtikrinimo, todėl nuotolinis užpuolikas gali suleisti kenkėjiškų objektų.

„Kheirkhah“ atakų srautas apima „Hashtable“, kurioje yra serijinių objektų, kūrimą, kad būtų siunčiama į pažeidžiamą galinį tašką, kuris po deserializacijos atlieka savavališkas operacijas, iškviesdamas metodus „DirectoryInfo“ arba „FileInfo“ objektuose.

Tai leidžia užpuolikui atlikti failų operacijas, pvz., skaityti arba rašyti failus serveryje, įskaitant žiniatinklio apvalkalus, kurie gali vykdyti savavališką kodą.

Rašte pažymima, kad žemo tipo filtras riboja, kuriuos objektus galima deserializuoti. Tačiau naudojant Jameso Forshaw aprašytą techniką galima apeiti apsaugos mechanizmą.

.NET nuotolinio išnaudojimo srautas
.NET nuotolinio išnaudojimo srautas
Šaltinis: summoning.team

Pataisykite dabar!

„Ivanti“ paskelbė saugos „karštąją pataisą“, skirtą EPM 2022 ir 2024, su atitinkamai SU6 ir 2024 m. rugsėjo mėn. atnaujinimais.

Pardavėjas nesiūlo jokių kitų švelninimo ar sprendimo būdų, todėl vienintelė rekomendacija yra biuletenyje pateikto saugos naujinimo pritaikymas.

Sausio mėn. CISA perspėjo, kad atakų metu buvo aktyviai išnaudojamas kritinis autentifikavimo apėjimo pažeidžiamumas, esantis Ivanti Endpoint Manager Mobile gaminyje.

Praėjusią savaitę Ivanti patvirtino, kad įsilaužėliai savo debesų paslaugų įrenginyje (CSA) aktyviai naudoja labai pavojingą nuotolinio kodo vykdymo trūkumą, pažymėtą CVE-2024-8190.

CISA taip pat įtraukė trūkumą į žinomų išnaudotų pažeidžiamų vietų katalogą, nustatydama pažeidžiamų prietaisų apsaugos terminą iki 2024 m. spalio 4 d.



Source link

Draugai: - Marketingo agentūra - Teisinės konsultacijos - Skaidrių skenavimas - Klaipedos miesto naujienos - Miesto naujienos - Saulius Narbutas - Įvaizdžio kūrimas - Veidoskaita - Teniso treniruotės - Pranešimai spaudai - Kauno naujienos - Regionų naujienos - Palangos naujienos