PoC Released: CVE-2024-13159 (CVSS 9.8) in Ivanti EPM Poses Severe Security Threat
2025/02/24 SecurityOnline — Ivanti Endpoint Manager (EPM) の深刻な脆弱性 CVE-2024-13159 (CVSS:9.8) に対する、技術的詳細と PoC エクスプロイト・コードが、Horizon3.ai のセキュリティ研究者 Zach Hanley (@hacks_zach) により公開された。CVSS スコアからも分かるように、この脆弱性は深刻なものであるため、緊急の対応が必要な、重大度の高い問題となっている。
Ivanti EPM は、企業全体のエンドポイント・セキュリティとソフトウェア・デプロイメントの管理で使用される .NET ベースのアプリケーションである。この脆弱性は WSVulnerabilityCore.dll ファイルに、具体的には LANDesk.ManagementSuite.WSVulnerabilityCore 名前空間内の VulCore クラスに起因する。Horizon3.ai のレポートによると、この問題は、特定のディレクトリ内のファイルのハッシュを計算するように設計された、GetHashForWildcardRecursive メソッドに影響に影響を及ぼすという。
Zach Hanley のレポートには、「このクラスで定義されている GetHashForWildcardRecursive() メソッドは、HashCalculator.GetHashForWildcardRecursive() に引き渡される、ワイルドカード文字列引数を想定している」と記されている。
根本的な問題は、このメソッドがユーザー制御の入力を処理する方法にある。具体的に言うと、ユーザーが提供するデータを、Path.GetDirectoryName() 関数が適切な検証を行わずに処理し、その後に Path.Combine() を用いて結合し、rootPath を形成する。この rootPath は、リモート UNC パスになる可能性があるため、この脆弱性を悪用する攻撃者は、影響を受ける Ivanti EPM サーバから、機密情報を漏洩させる機会を手にする。
リモートの未認証の攻撃者であっても、影響を受ける Ivanti EPM サーバに対して、特別に細工されたリクエストを送信することで、脆弱性 CVE-2024-13159 を悪用できる。 Hanley が実証したのは、脆弱なメソッドが入力の検証に失敗することだ。それにより攻撃者は、ワイルドカード・パラメータを制御して、自身が制御する UNC パスへと、ハッシュ操作をリダイレクトできるようになる。
この欠脆弱性の悪用に成功した攻撃者は、騙した EPM サーバによる悪意の SMB サーバの認証を試行し、ターゲット・システムから NTLM ハッシュをキャプチャできる。その後に、これらのハッシュは、パス・ザ・ハッシュ攻撃で悪用され、ネットワーク内での横移動や権限昇格を引き起こすことになる。
前述のとおり Horizon3.ai は、脆弱性 CVE-2024-13159 を攻撃者が悪用する方法を示す、PoC エクスプロイトをリリースしている。
Ivanti EPM の以下のバージョンは脆弱である:
- Ivanti EPM 2024 (11 月のセキュリティ更新以下)
- Ivanti EPM 2022 SU6 (11 月のセキュリティ更新以下)
すでに Ivanti は、2025年1月のセキュリティ更新において、2つのバージョンの問題に対処している。Ivanti EPM を使用している組織にとって必要なことは、最新のパッチ適用バージョンへと速やかにアップデートし、この重大なリスクを軽減することだ。
先月に FIX した Ivanti EPM の脆弱性 CVE-2024-13159 に対する、PoC エクスプロイトと技術的詳細が公開されました。ご利用のチームは、アップデートをご確認ください。なお、この脆弱性の第一報は 2025/01/14 の「Ivanti EPM の脆弱性 CVE-2024-10811 などが FIX:ただちにアップデートを!」です。よろしければ、Ivanti で検索と併せて、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.