Een proof-of-concept (PoC) exploit voor CVE-2024-29847, een kritieke kwetsbaarheid voor remote code execution (RCE) in Ivanti Endpoint Manager, is nu openbaar beschikbaar, wat het cruciaal maakt om apparaten bij te werken.

Het probleem betreft het deserializeren van onbetrouwbare data en heeft invloed op Ivanti Endpoint Manager voor 2022 SU6 en EPM 2024, welke werd opgelost als onderdeel van de september 2024 update op 10 september 2024.

De kwetsbaarheid werd ontdekt door beveiligingsonderzoeker Sina Kheirkhah (@SinSinology), die het op 1 mei 2024 via het Zero Day Initiative (ZDI) rapporteerde.

Dezelfde onderzoeker heeft nu de volledige details gepubliceerd over hoe CVE-2024-29847 kan worden uitgebuit, wat waarschijnlijk aanvallen in het wild zal aanwakkeren.

De CVE-2024-29847 kwetsbaarheid

De oorzaak van de kwetsbaarheid ligt in de onveilige deserialisatie binnen het AgentPortal.exe uitvoerbare bestand, specifiek de OnStart-methode van de service, die het verouderde Microsoft .NET Remoting framework gebruikt om communicatie tussen externe objecten te faciliteren.

De service registreert een TCP-kanaal met dynamisch toegewezen poorten zonder enige beveiligingshandhaving, waardoor een externe aanvaller kwaadaardige objecten kan injecteren.

Kheirkhah’s aanvalsstroom omvat het maken van een Hashtable met geseraliseerde objecten om naar het kwetsbare eindpunt te sturen, welke bij deserialisatie willekeurige operaties uitvoert door methoden aan te roepen van de DirectoryInfo of FileInfo objecten.

Hierdoor kan de aanvaller bestandsbewerkingen uitvoeren zoals het lezen of schrijven van bestanden op de server, inclusief web shells die willekeurige code kunnen uitvoeren.

In de beschrijving staat opgemerkt dat een low-type filter beperkt welke objecten kunnen worden gedeserialiseerd. Echter, door gebruik te maken van een techniek beschreven door James Forshaw, is het mogelijk om het beveiligingsmechanisme te omzeilen.

Nu patchen!

Ivanti heeft een veiligheids-‘hot patch’ beschikbaar gesteld voor EPM 2022 en 2024, met respectievelijk SU6 en september 2024 updates.

De leverancier biedt geen andere mitigaties of workarounds, dus het toepassen van de veiligheidspatch in het bulletin is de enige aanbeveling.

In januari waarschuwde CISA dat een kritieke authenticatie-omzeilingskwetsbaarheid in Ivanti’s Endpoint Manager Mobile product actief werd uitgebuit in aanvallen.

Vorige week bevestigde Ivanti dat hackers actief misbruik maken van een ernstig probleem met remote code execution, bijgehouden als CVE-2024-8190, in hun Cloud Services Appliance (CSA).

CISA heeft de kwetsbaarheid ook toegevoegd aan haar catalogus van bekende geëxploiteerde kwetsbaarheden en stelt de deadline om kwetsbare apparaten te beveiligen op 4 oktober 2024.