CVE-2021-44529

Суть уязвимости

CVE-2021-44529 представляет собой критическую уязвимость типа Code Injection (внедрение кода) в шлюзе Ivanti Endpoint Manager Cloud Service Appliance (EPM CSA) версий 4.6 и ниже.

Проблема заключается в недостаточной фильтрации входных данных в PHP-скриптах консоли управления. Неавторизованный удаленный злоумышленник может отправить специально сформированный HTTP-запрос, что позволит ему выполнить произвольный код на целевой системе. Выполнение кода происходит с правами пользователя nobody, однако это создает плацдарм для дальнейшего повышения привилегий и компрометации внутренней сети организации.

Как исправить

Основным способом устранения уязвимости является установка официального исправления (Patch) или обновление CSA до актуальной версии.

1. Войдите в веб-интерфейс администрирования Cloud Service Appliance.
2. Перейдите в раздел System (Система).
3. Выберите вкладку Updates (Обновления).
4. Нажмите кнопку Scan for updates, чтобы проверить наличие доступных патчей.
5. Установите исправление Patch 51 (или более позднее) для версии 4.6.
6. После завершения процесса установки перезагрузите устройство для применения изменений.

Если автоматическое обновление через интерфейс недоступно, выполните обновление через терминал:

yum update

Временные меры

Если немедленная установка патча невозможна, необходимо минимизировать риски с помощью следующих шагов:

1. Ограничьте доступ к веб-интерфейсу администрирования CSA (порты 443 и 80), разрешив подключения только с доверенных IP-адресов администраторов.
2. Настройте правила на внешнем Firewall или WAF (Web Application Firewall) для блокировки подозрительных POST-запросов к PHP-скриптам в директории /gsb/.
3. Проверьте логи веб-сервера на наличие аномальных запросов к файлам *.php с необычными параметрами.
4. Изолируйте CSA в отдельном сегменте сети (DMZ), чтобы предотвратить горизонтальное перемещение (lateral movement) злоумышленника в случае компрометации.