PoC Exploit Released for Ivanti EPM Flaw CVE-2024-29847 (CVSS 10)
2024/09/15 SecurityOnline — Ivanti Endpoint Management (EPM) ソフトウェアの重大な脆弱性 CVE-2024-29847 (CVSS:10) に関する、技術的な詳細と PoC エクスプロイト・コードが、Horizon3.ai のセキュリティ研究者である James Horseman から公開された。この脆弱性は、エージェント・ポータルにおける信頼されていないデータのデシリアライゼーションに起因するものであり、悪用に成功した攻撃者は、コア・サーバへの不正アクセスを実行する可能性を手にする。
Ivanti Endpoint Management は、各種の OS を実行するデバイス管理プラットフォームであり、その対象には Windows/macOS/Chrome OS/IoT システムなどが含まれる 。この EPM を使用することで、クライアント・デバイスの集中管理が可能になるため、一貫したデバイス制御とセキュリティを必要とする組織において重要なツールとなっている。
脆弱性 CVE-2024-29847 は、Ivanti の AgentPortal サービスにおける、信頼されていないデータの不適切なデシリアライゼーションにより引き起こされる。信頼されていないデータが、メモリ内のオブジェクトを再構成するために使用されると、デシリアライゼーションの脆弱性が発生し、攻撃者に対して悪意のコード注入を許す可能性が生じる。その結果として、Ivanti EPM を悪用する攻撃者は、SYSTEM レベルの特権で任意のコード実行を達成し、影響を受けるシステムの完全な制御を可能にする。
この脆弱性が、デシリアライゼーションとして分類されているが、Horseman の分析によると、より適切に挙動を表しているのは、コマンド・インジェクションの脆弱性なのかもしれない。
James Horseman は、「この投稿で説明されている脆弱性 CVE-2024-29847 が、デシリアライゼーションの問題であっても間違えではないが、コマンド・インジェクションと表現する方が、より正確であると感じている」と指摘している。つまり、この脆弱性には、まだ完全に理解されていない側面がある可能性が示唆される。
脆弱性 CVE-2024-29847 の情報が公表された時点で、実際に悪用されたという報告は確認されておらず、顧客が直接的な影響を受けたという報告も受けていないと、Ivanti は述べている。しかし、PoC エクスプロイト・コードが GitHub で公開されたことで、この脆弱性の悪用のスピードは急加速しており、脅威アクターによる攻撃のリスクが大幅に高まっている。
この脆弱性の重大性を踏まえ、Ivanti がユーザーに対して強く推奨するのは、Ivanti EPM 2024 へのホットパッチの迅速な適用、もしくは、Ivanti EPM 2022 Service Update 6 (SU6) へのアップグレードである。これらのパッチをまだ適用していないシステムが、攻撃を受ける可能性は極めて高い。
ユーザー組織は、IoC (indicators of compromise) を注意深く監視すべきである。AgentPortal サービスで使用されるポートは、レジストリの次の場所で確認できる:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\LANDesk\SharedComponents\LANDeskAgentPortal
AgentPortal サービスへの予期せぬ接続については、特に通常とは異なる IP アドレスや、信頼できない IP アドレスからの接続については、悪意の兆候を徹底的に調査すべきである。
Ivanti EPM の脆弱性 CVE-2024-29847 に関しては、2024/09/10 の「Ivanti EPM の脆弱性 CVE-2024-29847 などが FIX:RCE が生じる恐れ」が第一報となっています。そして PoC が提供され、危険が高まる状況となっています。Ivanti EPM 2024 HotPatch と、Ivanti EPM 2022 Service Update 6 (SU6) で対処されているとのことですので、ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.