Un exploit de preuve de concept (PoC) pour CVE-2024-29847, une vulnérabilité critique d’exécution de code à distance (RCE) dans Ivanti Endpoint Manager, est désormais rendu public, ce qui rend crucial la mise à jour des appareils.
La faille est un problème de désérialisation des données non fiables affectant Ivanti Endpoint Manager avant 2022 SU6 et EPM 2024, qui a été corrigé dans le cadre de la mise à jour de septembre 2024 le 10 septembre 2024.
La vulnérabilité a été découverte par la chercheuse en sécurité Sina Kheirkhah (@SinSinology), qui l’a signalée via la Zero Day Initiative (ZDI) le 1er mai 2024.
Le même chercheur a maintenant publié tous les détails sur la façon dont CVE-2024-29847 peut être exploité, ce qui alimentera probablement les attaques dans la nature.
La faille CVE-2024-29847
La cause première de la faille réside dans la désérialisation non sécurisée au sein de l’AgentPortal.exécutable exe, en particulier la méthode OnStart du service, qui utilise le framework Microsoft. NET Remoting obsolète pour faciliter la communication entre les objets distants.
Le service enregistre un canal TCP avec des ports attribués dynamiquement et aucune application de la sécurité, ce qui permet à un attaquant distant d’injecter des objets malveillants.
Le flux d’attaque de Kheirkhah implique la création d’une table de hachage contenant des objets sérialisés à envoyer au point de terminaison vulnérable, qui, lors de la désérialisation, exécute des opérations arbitraires en appelant des méthodes sur les objets DirectoryInfo ou FileInfo.
Ceux-ci permettent à l’attaquant d’effectuer des opérations sur les fichiers telles que la lecture ou l’écriture de fichiers sur le serveur, y compris des shells Web qui peuvent exécuter du code arbitraire.
Il est noté dans l’écriture qu’un filtre de type bas limite quels objets peuvent être désérialisés. Cependant, en utilisant une technique décrite par James Forshaw, il est possible de contourner le mécanisme de sécurité.
Patch maintenant!
Avanti a mis à disposition un correctif de sécurité pour les robots pour EPM 2022 et 2024, avec les mises à jour SU6 et septembre 2024, respectivement.
Le fournisseur ne propose aucune autre atténuation ou solution de contournement, l’application de la mise à jour de sécurité dans le bulletin est donc la seule recommandation.
En janvier, CISA a averti qu’une vulnérabilité critique de contournement d’authentification dans le produit mobile Endpoint Manager d’Ivanti était activement exploitée dans des attaques.
La semaine dernière, Ivanti a confirmé que des pirates informatiques exploitaient activement une faille d’exécution de code à distance de grande gravité, identifiée comme CVE-2024-8190, dans son appliance de services Cloud (CSA).
CISA a également ajouté la faille à son catalogue de vulnérabilités exploitées connues, fixant la date limite pour sécuriser les appliances vulnérables au 4 octobre 2024.