В сфере кибербезопасности обнаружены две критические уязвимости в продуктах компании Ivanti, которые представляют серьезную угрозу для корпоративных сетей. Эксперты предупреждают о необходимости срочного обновления систем и принятия мер защиты.
Уязвимость CVE-2024-29847 в Ivanti Endpoint Manager
Первая уязвимость, получившая идентификатор CVE-2024-29847, затрагивает Ivanti Endpoint Manager версий до 2022 SU6 и EPM 2024. Она позволяет злоумышленникам удаленно выполнять произвольный код на целевых системах. Особую опасность представляет появление в сети публичного эксплойта для этой уязвимости, что значительно упрощает ее использование киберпреступниками.
Технические детали уязвимости
Проблема связана с небезопасной десериализацией данных в исполняемом файле AgentPortal.exe. Уязвимый компонент использует устаревший фреймворк Microsoft .NET Remoting для обеспечения связи между удаленными объектами. Это позволяет атакующему осуществлять инъекции вредоносных объектов через незащищенный TCP-канал с динамически назначаемыми портами.
В результате успешной атаки злоумышленник может выполнять на сервере различные файловые операции, включая чтение и запись файлов. Особенно опасна возможность загрузки веб-шеллов, позволяющих выполнять произвольный код на скомпрометированной системе.
Активные атаки на Ivanti Cloud Services Appliance
Вторая уязвимость, CVE-2024-8190, обнаружена в продукте Ivanti Cloud Services Appliance (CSA) версии 4.6 и ниже. Компания Ivanti подтвердила, что эта уязвимость уже активно эксплуатируется злоумышленниками.
CVE-2024-8190 позволяет удаленным аутентифицированным атакующим с административными привилегиями выполнять произвольный код на уязвимых устройствах путем инъекции команд. Факт активного использования этой уязвимости в реальных атаках значительно повышает уровень угрозы для организаций, использующих Ivanti CSA.
Рекомендации по защите
Для минимизации рисков эксперты рекомендуют следующие меры:
- Незамедлительно обновить Ivanti Endpoint Manager до последней версии
- Для пользователей Ivanti CSA — перейти с версии 4.6.x на версию 5.0
- Использовать dual-homed конфигурации CSA с ETH-0 в качестве внутренней сети
- Внимательно отслеживать подозрительную активность в сети
- Применить принцип наименьших привилегий для административных учетных записей
Обнаружение этих уязвимостей подчеркивает важность регулярного обновления программного обеспечения и постоянного мониторинга угроз кибербезопасности. Организациям настоятельно рекомендуется усилить защиту своих сетей и систем, чтобы противостоять растущим киберугрозам. Своевременное реагирование на подобные уязвимости может предотвратить серьезные инциденты и финансовые потери.
