CVE-2024-13160

Ivanti Endpoint Manager (EPM)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-03-10

Официальное описание

Ivanti Endpoint Manager (EPM) contains an absolute path traversal vulnerability that allows a remote unauthenticated attacker to leak sensitive information.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-13160 представляет собой критическую уязвимость типа Absolute Path Traversal (обход пути) в Ivanti Endpoint Manager (EPM). Проблема заключается в недостаточной фильтрации входных данных, которые используются для формирования путей к файлам на сервере.

Удаленный неавторизованный злоумышленник может отправить специально сформированный запрос к веб-интерфейсу или API сервера EPM. Это позволяет выйти за пределы предназначенной директории и получить доступ к произвольным файлам в файловой системе сервера. Уязвимость критична, так как позволяет скомпрометировать конфиденциальную информацию, включая конфигурационные файлы, учетные данные и системные логи, без прохождения аутентификации.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официального обновления безопасности от Ivanti.

  1. Определите текущую версию вашего Ivanti EPM через консоль управления (Help -> About).
  2. Скачайте соответствующий патч с официального портала Ivanti (Ivanti Community).
  3. Установите обновление на сервер ядра (Core Server).

Для версии Ivanti EPM 2022 SU6 необходимо установить обновление Hotfix 1 (или новее).

Для версии Ivanti EPM 2024 необходимо установить обновление September 2024 Update (или новее).

После установки патча проверьте версию файлов в директории установки, чтобы убедиться в успешном применении исправлений.

Временные меры

Если немедленная установка патча невозможна, необходимо минимизировать риски с помощью следующих компенсирующих мер:

  1. Ограничьте доступ к веб-консоли управления EPM (порты 80, 443), разрешив подключения только из доверенных сегментов сети или через VPN.

  2. Настройте правила на Web Application Firewall (WAF) для блокировки запросов, содержащих подозрительные последовательности символов для обхода путей в URL-параметрах.

  3. Включите расширенное логирование IIS и аудит доступа к файловой системе для мониторинга попыток чтения критических файлов.

  4. Проверьте права доступа к директориям EPM, убедившись, что сервисные учетные записи имеют минимально необходимые привилегии (принцип Least Privilege).

  5. Для временной остановки веб-сервисов (если это допустимо регламентом) используйте команду:

iisreset /stop
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей