Ivanti

Ivanti Endpoint Managerの重大なリモートコード実行(RCE)の脆弱性であるCVE-2024-29847に対する概念実証(PoC)エクスプロイトが現在公開されており、デバイスのアップデートが極めて重要となっている。

この欠陥は、2022 SU6 以前の Ivanti Endpoint Manager および EPM 2024 に影響する信頼できないデータのデシリアライズの問題であり、2024 年 9 月 10 日の September 2024 アップデートの一部として修正されました。

この脆弱性はセキュリティ研究者のSina Kheirkhah氏(@SinSinology)によって発見され、2024年5月1日にZero Day Initiative(ZDI)を通じて報告された。

同じ研究者が今回、CVE-2024-29847がどのように悪用されるかの全詳細を公表した

CVE-2024-29847の欠陥

この欠陥の根本的な原因は、AgentPortal.exe実行ファイル内の安全でないデシリアライゼーションにあり、具体的には、リモートオブジェクト間の通信を促進するために、非推奨のMicrosoft .NET Remotingフレームワークを使用するサービスのOnStartメソッドにあります。

このサービスは、動的に割り当てられるポートを持つTCPチャネルを登録し、セキュリティの強制を行わないため、リモートの攻撃者が悪意のあるオブジェクトを注入することが可能です。

Kheirkhah氏の攻撃フローでは、シリアライズされたオブジェクトを含むHashtableを作成して脆弱なエンドポイントに送信し、デシリアライズ時にDirectoryInfoまたはFileInfoオブジェクトのメソッドを呼び出して任意の操作を実行します。

これらによって攻撃者は、任意のコードを実行できるウェブ・シェルを含む、サーバー上のファイルの読み書きなどのファイル操作を実行できるようになる。

この記事では、低タイプのフィルタがデシリアライズできるオブジェクトを制限していることが指摘されている。しかし、James Forshawによって説明されたテクニックを使用すると、セキュリティ機構をバイパスすることが可能です。

.NET Remoting exploitation flow
.NET Remoting悪用の流れ
ソース: summoning.team

今すぐパッチを

Ivanti 社は、EPM 2022 および 2024 用のセキュリティ「ホットパッチ」を、それぞれ SU6 および 2024 年 9 月のアップデートで利用可能にした。

同ベンダーは、他の緩和策や回避策を提供していないため、同公報のセキュリティ・アップデートを適用することだけが推奨される。

CISAは1月、IvantiのEndpoint Manager Mobile製品に存在する重大な認証バイパスの脆弱性が攻撃で積極的に悪用されていると警告した

先週、Ivantiは、ハッカーが同社のCloud Services Appliance(CSA)において、CVE-2024-8190として追跡されている重大性の高いリモート・コード実行の欠陥を積極的に悪用していることを確認した。

CISAはまた、この欠陥をKnown Exploited Vulnerabilitiesカタログに追加し、脆弱なアプライアンスを保護する期限を2024年10月4日に設定した。