Vulnérabilité critique dans Ivanti EPM (CVE-2024-29847)
Résumé
Le 10 septembreth, 2024, Ivanti a publié un avis détaillant plusieurs vulnérabilités de gravité critiques dans son produit Endpoint Management (EPM). Le produit EPM gère les actifs informatiques, le dépannage et le déploiement des logiciels et des systèmes d'exploitation. Une vulnérabilité dans un système avec un tel niveau de contrôle sur un environnement réseau présente un risque important.
Parmi les vulnérabilités signalées, la vulnérabilité CVE-2024-29847 est particulièrement remarquable. Il s'agit de la seule vulnérabilité avec un score CVSS de 10,0, car elle peut être exploitée à distance, ne nécessite aucune authentification et est relativement simple à attaquer.
Les produits d'Ivanti ont connu des vulnérabilités critiques qui ont été exploitées lors de cyberattaques plus tôt cette année, notamment en janvier (CVE-2023-46805 et CVE-2024-21887) et de nouveau en février (CVE-2024-21893, CVE-2024-22024 et CVE-2024-21888). Bien que les vulnérabilités récemment découvertes n'aient pas encore été exploitées par les acteurs de la menace, Beazley Security pense que des groupes cybercriminels ou d'autres acteurs de la menace tenteront d'utiliser ces vulnérabilités comme des armes. C'est pourquoi Beazley Security recommande vivement aux entreprises d'appliquer les correctifs logiciels disponibles le plus rapidement possible.
Systèmes et produits concernés
Nom du produit : Ivanti Endpoint Manager
- Version (s) concernée (s) :
- 2024
- Version (s) résolue (s) :
- 2024 avec les correctifs de sécurité de juillet et septembre appliqués, ou 2024 SU1 (pas encore publié au moment de la rédaction)
Nom du produit : Ivanti Endpoint Manager
- Version (s) concernée (s) :
- SU5 2022 et versions antérieures
- Version (s) résolue (s) :
- SU6 2022
Atténuations et solutions de contournement
Le fournisseur indique qu'aucune mesure d'atténuation ou solution de contournement n'est disponible. Les organisations doivent appliquer les correctifs disponibles dès que possible.
Patchs
Les détails des correctifs de sécurité sont disponibles dans l'avis d'Ivanti ici.
Pour EPM 2024 :
- Téléchargez les fichiers Security Hot Patch ici.
- Fermez la console EPM
- Extrayez le dossier, ouvrez Powershell en tant qu'administrateur, puis exécutez Deploy.ps1
- Redémarrez le serveur principal.
Pour EPM 2022 :
- Téléchargez le fichier correctif ici.
- Suivez les instructions détaillées d'Ivanti qui se trouvent ici.
Détails techniques
La vulnérabilité implique un exploit logiciel connu sous le nom d'attaque de désérialisation. Les applications doivent souvent transférer des données internes en mémoire via un réseau ou dans un fichier et doivent soumettre ces données à un processus appelé « sérialisation » pour les mettre dans un format transférable. Une fois transférée, l'application inversera le processus (appelé « désérialisation ») pour la remettre dans un état utilisable.
Parfois, la désérialisation est effectuée de manière non sécurisée et la manipulation de données sérialisées peut avoir des conséquences néfastes et imprévues. Plus précisément, dans ce scénario, la conséquence est l'exécution de code à distance, ce qui entraîne une compromission complète d'un serveur Ivanti Endpoint Management Core.
Comment Beazley Security réagit
Beazley Security surveille les appareils périmétriques des clients via notre produit Karma afin d'identifier les appareils potentiellement concernés et d'aider les organisations à remédier à tout problème détecté.
Sources
Aware of an incident impacting your industry? Let us know: