CVE-2024-13161

Ivanti Endpoint Manager (EPM)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-03-10

Официальное описание

Ivanti Endpoint Manager (EPM) contains an absolute path traversal vulnerability that allows a remote unauthenticated attacker to leak sensitive information.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-13161 представляет собой критическую уязвимость типа Absolute Path Traversal (обход пути) в Ivanti Endpoint Manager (EPM).

Проблема заключается в недостаточной фильтрации входных данных в одном из веб-компонентов сервера EPM. Удаленный неавторизованный злоумышленник может отправить специально сформированный HTTP-запрос, содержащий абсолютный путь к файлу, что позволяет выйти за пределы корневого каталога веб-сервера.

В результате атакующий может прочитать произвольные конфиденциальные файлы в файловой системе сервера (например, конфигурационные файлы с учетными данными, логи или системные файлы), что ведет к полной компрометации данных и возможности дальнейшего продвижения в инфраструктуре.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официального обновления безопасности от Ivanti.

  1. Определите текущую версию вашего Ivanti EPM через консоль управления (Help > About).
  2. Скачайте соответствующий патч с официального портала Ivanti.
  3. Уязвимость устранена в следующих версиях:
  4. Ivanti EPM 2024 с установленным Hotfix (February 2025) или новее.
  5. Ivanti EPM 2022 SU6 с установленным Hotfix (February 2025) или новее.

Процесс установки: 1. Создайте резервную копию базы данных и снимок (snapshot) сервера EPM. 2. Запустите инсталлятор обновления от имени администратора. 3. После завершения установки перезагрузите сервер.

Для проверки версии установленного ПО через PowerShell:

Get-ItemProperty "HKLM:\SOFTWARE\LANDesk\ManagementSuite\Setup" | Select-Object -Property Version

Временные меры

Если немедленная установка патча невозможна, необходимо применить компенсирующие меры для снижения риска эксплуатации:

  1. Ограничение доступа на сетевом уровне: Ограничьте доступ к веб-консоли управления EPM (порты 80, 443), разрешив подключения только из доверенных сегментов сети или через VPN.

  2. Настройка правил WAF (Web Application Firewall): Настройте сигнатуры для блокировки запросов, содержащих паттерны обхода путей в URL и параметрах (например, .., /etc/, C:\, %2f..%2f).

  3. Мониторинг логов IIS: Проверьте логи веб-сервера на наличие подозрительных GET/POST запросов с необычными путями.

Select-String -Path "C:\inetpub\logs\LogFiles\W3SVC1\*.log" -Pattern "\.\./"
  1. Принцип минимальных привилегий: Убедитесь, что сервисы IIS и компоненты Ivanti работают под учетными записями с минимально необходимыми правами доступа к файловой системе, чтобы ограничить область чтения файлов в случае эксплуатации.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей