У світі кібербезпеки з’явилися нові приводи для занепокоєння. Дві критичні вразливості в продуктах компанії Ivanti становлять серйозну загрозу для корпоративних мереж. Розглянемо детальніше ці проблеми та їх потенційні наслідки.
Вразливість CVE-2024-29847 в Ivanti Endpoint Manager
Перша вразливість, CVE-2024-29847, виявлена в Ivanti Endpoint Manager. Це критична проблема десеріалізації недовірених даних, яка дозволяє віддалене виконання коду. Вразливість зачіпає версії до 2022 SU6 та EPM 2024.
Дослідник з кібербезпеки Сіна Хейрхах виявив, що корінь проблеми криється в небезпечній десеріалізації в файлі AgentPortal.exe. Вразливість пов’язана з використанням застарілого фреймворку Microsoft .NET Remoting для комунікації між віддаленими об’єктами.
Механізм експлуатації
Вразливість дозволяє зловмисникам здійснювати ін’єкції шкідливих об’єктів через незахищений TCP-канал. В результаті атакуючий може виконувати на сервері файлові операції, включаючи завантаження веб-шеллів для виконання довільного коду.
Важливо: Хоча існує low-type фільтр для обмеження десеріалізації об’єктів, його можна обійти за допомогою техніки, описаної дослідником Джеймсом Форшоу.
Активні атаки на Ivanti Cloud Services Appliance
Друга вразливість, CVE-2024-8190, виявлена в Ivanti Cloud Services Appliance (CSA). Ця проблема вже активно експлуатується зловмисниками.
Вразливість дозволяє віддаленим аутентифікованим зловмисникам з адміністративними привілеями досягти віддаленого виконання коду шляхом ін’єкції команд. Під загрозою знаходяться пристрої під управлінням Ivanti CSA 4.6 та більш ранніх версій.
Рекомендації щодо захисту
Компанія Ivanti випустила патч CSA 4.6 Patch 519, але рекомендує клієнтам перейти з версії CSA 4.6.x на CSA 5.0, яка все ще підтримується. Додатково, використання dual-homed конфігурацій CSA з ETH-0 як внутрішньою мережею значно знижує ризик експлуатації цієї вразливості.
Ці інциденти підкреслюють важливість своєчасного оновлення програмного забезпечення та постійного моніторингу кіберзагроз. Організаціям, що використовують продукти Ivanti, наполегливо рекомендується негайно застосувати доступні патчі та дотримуватися рекомендацій виробника щодо захисту своїх систем. Кібербезпека вимагає постійної пильності та проактивного підходу до управління ризиками.