Horizon3.ai je objavio tehničke detalje o četiri ranjivosti kritične ozbiljnosti u Ivanti Endpoint Manageru (EPM), zajedno sa kodom za dokaz koncepta (PoC) koji ih cilja.
Bezbjednosni nedostaci, praćeni kao CVE-2024-10811, CVE-2024-13161, CVE-2024-13160 i CVE-2024-13159 (CVSS rezultat od 9,8) i opisani kao apsolutni problemi s prelaskom putanje, ispravljeni su sredinom januara u EPM verzijama 2024 i 2022 SU6.
Ivanti je tada upozorio da se nedostaci mogu iskoristiti za curenje osjetljivih informacija, ali nije naveo dodatne detalje o njima.
U srijedu, Horizon3.ai je otkrio da bi ove četiri greške mogao iskoristiti neovlašteni napadač kako bi “primorao akreditiv računa Ivanti EPM računa da se koristi u relay napadima, potencijalno omogućavajući kompromitaciju servera”.
Prema kompaniji za sajber bezbjednost, ranjivosti se nalaze u funkcijama koje prihvataju korisnički unos prilikom čitanja datoteka sa određene staze i izračunavanja hešova za njih.
Budući da korisnički unos nije validan, napadač bi mogao prisiliti EPM server da se poveže na udaljenu UNC putanju, kaže Horizon3.ai.
Bezbjednosna firma napominje da se četiri ranjivosti mogu iskoristiti za prenošenje pristupnih podataka na LDAP i dodavanje računa računara. Napadač tada može dodati prava delegiranja novom nalogu, imitirati administratora domene za CIFS uslugu, a zatim potvrditi dozvole.
„Kompromitovanje samog Endpoint Manager servera dovelo bi do mogućnosti da se kompromituju svi EPM klijenti, čineći ovaj put posebno upečatljivim,“ primjećuje Horizon3.ai.
Ranjivosti su prijavljene u oktobru 2024. Ivantijevo bezbjednosno ažuriranje iz januara 2025. za EPM 2024 i 2022 SU6 odnosi se na sva četiri.
Budući da je početno ažuriranje izazvalo probleme sa Windows Action-om, Ivanti je objavio drugu verziju ažuriranja. Organizacijama se savjetuje da instaliraju drugu verziju bez obzira na to da li su instalirale početnu ispravke ili ne.
Izvor: SecurityWeek
