Ivanti Patches SQLi Vulnerability (CVE-2024-37381) in Endpoint Management Software
2024/07/17 SecurityOnline — Ivanti が公表したのは、Endpoint Management Software における SQL インジェクションの脆弱性 CVE-2024-37381 への、速やかな対処の完了である。この脆弱性の悪用に成功した、同一ネットワーク内の認証済みの攻撃者は、影響を受けるシステム上で任意のコードを実行する可能性を手にする。
Windows/macOS/Chrome OS/IoT などの多様なデバイス・プラットフォームの、管理を効率化するために設計された EPM Software は、各種の業界で広範に利用されている。すでに Ivanti は、この脆弱性 CVE-2024-37381 (CVSS:8.4:High) を修正し、ユーザーの潜在的なリスクを軽減している。
現時点において Ivanti は、悪用の報告は受けていないとしている。その一方で、EPM 2024 flat の全ユーザーに対して同社は、提供されている Security Hot Patch を速やかに適用し、脆弱性 CVE-2024-37381 に対処することを推奨している。
このパッチは、コア・サーバ上の4つの重要な DLL ファイルを更新するものであり、この脆弱性を悪用して不正アクセス/RCE を試みる、潜在的な攻撃者に対する重要な防御策となる。
Security Hot Patch の適用
- Security Hot Patch ファイルのダウンロード: Ivanti の公式サポートページから、一連のファイルのダウンロードが可能となっている。
- DLL ファイルのブロック解除: 元ファイルを置き換える前に、PowerShell を使用してブロックが解除されていることを確認する。
- オリジナル DLL ファイルの置き換え: 新しい DLL を上記のディレクトリに配置する必要がある:
あるいは、管理者は提供されている PowerShell スクリプトを使用して、自動更新プロセスを実行することも可能だ:
- “EPM_2024_hotpatch” フォルダを解凍し、指定のディレクトリに配置する。
- 管理者権限で PowerShell を開き、”JulyEPM2024HotPatch.ps1″ を実行する。
- Core Server の再起動: DLL の置き換え後に、Core Server を再起動する。なお、再起動が不可能な場合には、EPM コンソールを閉じて “IISRESET” を実行し、新しい DLL が読み込まれるように設定する。
Ivanti EPM のユーザーに強く推奨されるのは、Security Hot Patch を迅速に適用し、システムとデータを攻撃者なら保護することである。
文中で説明されている DLL の数と、イメージ内の DLL の数が一致しませんが、そのままにしてあります。今年の前半の Ivanti は、かなり大変な状況が続きましたが、広範は平穏でいてほしいものです。よろしければ、Ivanti で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.