CVE-2024-13159

Ivanti Endpoint Manager (EPM)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-03-10

Официальное описание

Ivanti Endpoint Manager (EPM) contains an absolute path traversal vulnerability that allows a remote unauthenticated attacker to leak sensitive information.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-13159 представляет собой критическую уязвимость типа Absolute Path Traversal (обход пути) в Ivanti Endpoint Manager (EPM).

Проблема заключается в недостаточной фильтрации входных данных, которые используются для формирования путей к файлам на сервере. Удаленный неавторизованный злоумышленник может отправить специально сформированный запрос, содержащий абсолютный путь к системным файлам или конфигурационным данным. Это позволяет прочитать конфиденциальную информацию (Sensitive Information Disclosure), включая учетные данные, ключи шифрования и настройки базы данных, что в дальнейшем может привести к полному захвату контроля над инфраструктурой управления конечными точками.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официального обновления от производителя. Уязвимость затрагивает версии Ivanti EPM 2022 Service Update 6 и более ранние.

  1. Перейдите на портал поддержки Ivanti и скачайте актуальный патч для вашей версии продукта.
  2. Установите Ivanti EPM 2022 Service Update 6 Hotfix (или более новую версию, если она доступна).
  3. После установки обновления убедитесь, что версия файлов ядра системы обновилась. Проверить версию установленного ПО можно через консоль управления:
Get-ItemProperty -Path "HKLM:\SOFTWARE\LANDesk\ManagementSuite\Setup" -Name "Version"
  1. Перезагрузите сервер для завершения процесса применения исправлений.

Временные меры

Если немедленная установка патча невозможна, необходимо минимизировать риски с помощью следующих компенсирующих мер:

  1. Ограничьте доступ к веб-консоли управления EPM (порты 80, 443) только для доверенных IP-адресов администраторов с помощью межсетевого экрана.
  2. Настройте правила на Web Application Firewall (WAF) для блокировки запросов, содержащих признаки Path Traversal (например, последовательности ../, ..\, а также прямые обращения к системным путям типа C:\Windows\).
  3. Включите расширенное логирование IIS и настройте мониторинг на предмет аномальных GET/POST запросов к API-эндпоинтам.
  4. Проверьте права доступа сервисной учетной записи IIS. Убедитесь, что она работает с минимально необходимыми привилегиями и не имеет доступа на чтение ко всему системному диску:
icacls "C:\" /inheritance:r /grant:r "NT AUTHORITY\SYSTEM:(OI)(CI)(F)" "Administrators:(OI)(CI)(F)"

(Примечание: Будьте осторожны с изменением прав доступа на системные папки, это может нарушить работу ОС).

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей