【PoC】Ivanti EPM 漏洞 CVE-2024-29847 (CVSS 10) PoC 发布

Horizon3.ai的安全研究员James Horseman披露了Ivanti终端管理（EPM）软件中一个关键漏洞（CVE-2024-29847）的技术细节和概念验证（PoC）漏洞利用代码，该漏洞可能允许攻击者未经授权访问核心服务器。这个漏洞被评为CVSS 10分（最高严重性），源自代理门户中对不受信任数据的反序列化弱点。

Ivanti终端管理是一个被IT管理员广泛使用的平台，用于管理运行各种操作系统的设备，包括Windows、macOS、Chrome OS和物联网系统。EPM支持客户端设备的集中管理，使其成为依赖于一致设备控制和安全的组织的关键工具。

CVE-2024-29847漏洞是由Ivanti的AgentPortal服务中对不受信任数据的错误反序列化引起的。反序列化漏洞发生在使用不受信任的数据在内存中重构对象时，可能为攻击者注入恶意代码打开大门。在这种情况下，该漏洞允许攻击者利用Ivanti EPM并执行具有系统级权限的任意代码，基本上赋予他们对受影响系统的完全控制权。

尽管这个漏洞被归类为反序列化，但Horseman的分析表明，命令注入可能更准确地描述了这个漏洞的行为。“虽然我们非常确定本文中描述的漏洞是真正的CVE-2024-29847，但我们认为将其更准确地描述为命令注入，”Horseman指出，暗示这个漏洞可能还有待完全理解的其他方面。

截至披露之时，Ivanti表示没有已知的这个漏洞在野外被利用的情况，他们也没有收到客户直接受到影响的报告。然而，GitHub上发布CVE-2024-29847的概念验证漏洞利用代码显著提高了潜在攻击的风险，因为威胁行为者现在可以迅速将这个漏洞武器化。

鉴于漏洞的关键性质，公司敦促管理员立即应用Ivanti EPM 2024的热补丁或升级到Ivanti EPM 2022服务更新6（SU6），该更新解决了这个问题。尚未应用这些补丁的系统，攻击窗口非常大。

对于寻求防御潜在攻击的组织，应密切监控入侵指标（IoCs）。AgentPortal服务使用的端口可以在注册表中找到：ComputerHKEY_LOCAL_MACHINESOFTWARELANDeskSharedComponentsLANDeskAgentPortal

特别是来自不寻常或不受信任IP地址的AgentPortal服务的意外连接，应彻底调查以寻找恶意活动的迹象。