Ivanti：在端点管理器中修补了关键的远程代码执行缺陷

Ivanti周二推出了修复程序，以解决端点管理器（EPM）中的多个关键安全漏洞，这些漏洞可以在某些情况下被利用来实现远程代码执行。

10个漏洞中的6个——从CVE-2024-29822到CVE-2024-29827（CVSS得分：9.6）——与SQL注入缺陷有关，这些缺陷允许同一网络中未经身份验证的攻击者执行任意代码。

其余四个错误——CVE-2024-29828、CVE-2024-29829、CVE-2024-29830和CVE-2024-29846（CVSS得分：8.4）——也属于同一类别，唯一的变化是它们需要攻击者进行身份验证。

这些缺点影响了Ivanti EPM版本2022 SU5及更早版本的核心服务器。

该公司还解决了Avalanche版本6.4.3.602（CVE-2024-29848，CVSS得分：7.2）中的高度严重安全漏洞，该漏洞可能允许攻击者通过上传特制文件实现远程代码执行。

此外，还为其他五个高严重性漏洞发布了补丁：ITSM神经元中的SQL注入（CVE-2024-22059）和不受限制的文件上传错误（CVE-2024-22060），Connect Secure（CVE-2023-38551）中的CRLF注入缺陷，以及Windows（CVE-2023-38042）和Linux（CVE-2023-46810）的安全访问客户端中的两个本地特权升级问题。

Ivanti强调，没有证据表明这些缺陷在野外被利用，或者它们是通过供应链攻击“恶意引入我们的代码开发过程”的。

开发这一发展之际，Netflix开发的Genie联合大数据编排和执行引擎的开源版本（CVE-2024-4701，CVSS得分：9.9）中出现了一个关键缺陷的细节，该缺陷可能导致远程代码执行。

被描述为路径遍历漏洞，缺点可以被利用在文件系统上编写任意文件并执行任意代码。它影响了4.3.18之前软件的所有版本。

这个问题源于这样一个事实，即Genie的REST API旨在接受用户提供的文件名作为请求的一部分，从而允许恶意行为者制作一个文件名，使其可以打破默认的附件存储路径，并将具有任何用户指定名称的文件写入行为者指定的路径。

维护人员在一份公告中表示，任何运行自己的实例并依赖文件系统存储提交给Genie应用程序的文件附件的Genie OSS用户都可能受到影响。

使用这种技术，可以将具有任何用户指定文件名和文件内容的文件写入Java进程具有写访问权限的文件系统上的任何位置——这可能会导致远程代码执行（RCE）。

也就是说，不将附件存储在底层文件系统上的用户不会受到这个问题的影响。

Contrast Security研究员Joseph Beeton说，如果成功，这种攻击可能会愚弄Web应用程序读取，从而暴露应用程序或Web服务器的文档根目录之外的文件内容，包括后端系统、应用程序代码和数据以及敏感操作系统文件的凭据。

本月早些时候，美国政府警告说，威胁行为者继续试图利用软件中的目录遍历缺陷来破坏目标，呼吁开发人员采用安全的设计方法来消除此类安全漏洞。

政府表示，从一开始就纳入这种风险缓解——从设计阶段开始，一直持续到产品发布和更新——既减少了客户的网络安全负担，也减少了公众的风险。

披露也是在霍尼韦尔控制边缘单元操作控制器（UOC）中出现各种漏洞（CVE-2023-5389和CVE-2023-5390）之后，这些漏洞可能导致未经身份验证的远程代码执行。

Claroty说，已经在OT网络上的攻击者将使用恶意网络数据包来利用此漏洞并破坏虚拟控制器。这种攻击可以远程进行，以修改文件，从而完全控制控制器并执行恶意代码。

参考链接：https://thehackernews.com/2024/05/ivanti-patches-critical-remote-code.html