A Zero Day Initiative (ZDI) nyilvánosságra hozott 13 javítatlan sebezhetőséget, amelyek az Ivanti Endpoint Managert érintik. A sérülékenységek közül 12 távoli kódfuttatást (remote code execution – RCE) tesz lehetővé, egy pedig helyi jogosultság-eszkalációs (privilege escalation) sebezhetőség.
A közzétett biztonsági figyelmeztetések részletezik azokat a kihasználható sebezhetőségeket, amelyeket az Ivanti hónapokig tartó előzetes értesítések és a kért hosszabbítások ellenére még mindig nem javított. A ZDI mind a 13 problémát zero-day (nulladik napi) sebezhetőségként jelölte meg. A hibák száma és súlyossági besorolása komoly kockázatot jelent. Mindegyik sebezhetőség az Ivanti Endpoint Managert érinti, amely egy széles körben használt megoldás végpontok kezelése, javítása és biztosítása céljából, elsősorban vállalati és kormányzati környezetekben.
A ZDI mind a 13 sebezhetőséget privát módon jelentette az Ivantinak 2024 júniusa és novembere között. A sebezhetőségek az Endpoint Manager több komponensét érintik, többek között a Report_RunPatch, az MP_QueryDetail, a PatchHistory és a OnSaveToDB modulokat, amelyek a bemeneti validáció, az SQL lekérdezések és a deszerializációs mechanizmusok rendszerszintű gyengeségeire utalnak.
A legsúlyosabb sebezhetőség egy directory traversal típusú RCE sérülékenység az OnSaveToDB metódusban, amely lehetővé teszi nem hitelesített távoli támadók számára, hogy minimális felhasználói beavatkozással tetszőleges kódot futtassanak. A sebezhetőségek többsége SQL injektálási hibákra vezethető vissza, melyek hitelesítést követően kihasználhatók, és a szolgáltatásfiók jogosultságaival futó folyamatoknál távoli kódfuttatást (RCE) eredményezhetnek. Egy másik sérülékenység, az AgentPortal deszerializációs sebezhetősége, amely helyi jogosultság-eszkalációt tesz lehetővé SYSTEM szintre megbízhatatlan adatok deszerializációja révén.
A legtöbb sebezhetőség kihasználásához a támadónak előzetes hitelesítés vagy fizikai hozzáférés szükséges, azonban a korábbi incidensek során előfordult hitelesítőadat-lopások és a jogosultságokkal való visszaélések alapján ez a feltétel a valós támadások során nem feltétlenül jelent védelmet.
Ajánlott intézkedések:
- Korlátozzuk az Ivanti Endpoint Manager felületekhez való közvetlen internetes hozzáférést: tiltsuk le a nyilvános hozzáférést, és használjunk VPN-t vagy IP-cím alapú engedélyezési listákat, ahol lehetséges.
- Alkalmazzuk a minimális jogosultság elvét minden olyan fiókra, amely az Endpoint Managerrel kommunikál.
- Figyeljük és elemezzük a naplófájlokat. Keressünk az Endpoint Manager-hez kapcsolódó gyanús SQL-lekérdezéseket vagy szokatlan folyamatindításokat.
- Telepítsük WAF-ot vagy fordított proxyt (reverse proxy) szigorú bemeneti validációval és alapszintű szabálykészlettel a rosszindulatú SQL injekciós kísérletek és egyéb bemeneti támadások blokkolásának érdekében.