PoC Exploit Published for Critical Ivanti EPM Vulnerabilities
2025/02/20 SecurityWeek — Horizon3.ai が公開したのは、Ivanti Endpoint Manager (EPM) の深刻な4件の脆弱性に関する技術的な詳細と、それらを標的とする PoC エクスプロイト・コードである。
Ivanti EPM の脆弱性 CVE-2024-10811/CVE-2024-13161/CVE-2024-13160/CVE-2024-13159 (CVSS:9.8) は、絶対パス・トラバーサルの問題として説明されており、2025年1月中旬にリリースされた、EPM バージョン 2024/2022 SU6 で修正されている。
そのリリースの時点で Ivanti は、一連の脆弱性が悪用され、機密情報が漏洩する可能性があると警告したが、それ以上の詳細は提供していない。
その一方で、2月19日 (水) に Horizon3.ai が明らかにしたのは、4つのバグを悪用する未認証の攻撃者が、Ivanti EPM マシン・アカウントの認証情報を、リレー攻撃で強制的に用いることでサーバ侵害を引き起こせるという可能性である。
同社によると、一連の脆弱性が存在するのは、特定のパスからファイルを読み取り、それらのハッシュを計算するときの、ユーザー入力の受け入れ機能となる。
つまり、ユーザー入力は検証されないため、リモート UNC パスへ向けた、EPM サーバの強制的な接続が、攻撃者により達成されると Horizon3.ai は述べている。
さらに Horizon3.ai は、4つの脆弱性を悪用することで、認証情報を LDAP にリレーし、マシン・アカウントを追加できると指摘している。その後に攻撃者は、新しいアカウントに委任権限を追加し、CIFS サービスのドメイン管理者に成りすまして、権限を検証できる。
Horizon3.ai は、「Endpoint Manager サーバ自体の侵害にいたると、すべての EPM クライアントの侵害が可能になるため、この攻撃チェーンの影響は大きい」と指摘している。
この脆弱性は、2024年10月の時点で報告されたものだ。2025年1月の時点で、Ivanti がリリースした、 EPM 2024/2022 SU6 向けのセキュリティ更新により、これらの4つの問題は、すべてが対処されている。
なお、1回目の更新プログラムでは、Windows アクションに問題が発生したことで、2回目の更新プログラムが Ivanti からリリースされている。最初のパッチをインストールには関係なく、ユーザー組織に対して推奨されるのは、2番目のバージョンをインストールすることである。
Ivanti EPM における複数の脆弱性が FIX しました。これらの脆弱性が悪用されると、サーバ侵害に至る恐れがあるとのことです。PoC エクスプロイトが提供されたことで、悪用の可能性も高まります。ご利用のチームは、お気をつけください。なお、関連する直近のトピックは、2025/01/14 の「Ivanti EPM の脆弱性 CVE-2024-10811 などが FIX:ただちにアップデートを!」となります。よろしければ、Ivanti で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.