CVE-2024-29824

Ivanti Endpoint Manager (EPM)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-10-02

Официальное описание

Ivanti Endpoint Manager (EPM) contains a SQL injection vulnerability in Core server that allows an unauthenticated attacker within the same network to execute arbitrary code.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-29824 представляет собой критическую уязвимость типа SQL Injection в компоненте Core Server продукта Ivanti Endpoint Manager (EPM). Уязвимость оценивается в 9.6 баллов по шкале CVSS v3.

Проблема заключается в недостаточной фильтрации входящих данных в одном из API-эндпоинтов, что позволяет неавторизованному злоумышленнику, находящемуся в той же сети, внедрять произвольные SQL-запросы. Поскольку база данных EPM часто взаимодействует с операционной системой через расширенные хранимые процедуры (например, xp_cmdshell), успешная эксплуатация SQLi приводит к удаленному выполнению произвольного кода (RCE) с правами локальной системы (NT AUTHORITY\SYSTEM).

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официального обновления (Hotfix) от производителя.

  1. Определите текущую версию Ivanti EPM. Уязвимости подвержены версии 2022 Service Update 5 и более ранние.
  2. Скачайте соответствующий патч с официального портала Ivanti (Ivanti Community).
  3. Для версии EPM 2022 SU5 необходимо установить Hotfix 1 (May 2024) или более поздний кумулятивный апдейт.
  4. Запустите инсталлятор обновления на Core Server от имени администратора.
  5. После завершения установки перезагрузите сервер для применения изменений в службах IIS и компонентах БД.

Проверка версии через PowerShell:

(Get-Item "C:\Program Files\LANDesk\ManagementSuite\Core.dll").VersionInfo.FileVersion

Временные меры

Если немедленная установка патча невозможна, необходимо минимизировать риски с помощью следующих шагов:

  1. Ограничение сетевого доступа: Изолируйте Core Server в отдельный сегмент сети и ограничьте доступ к портам управления (80, 443) только для доверенных IP-адресов администраторов и известных сегментов рабочих станций.

  2. Отключение xp_cmdshell: Убедитесь, что в экземпляре Microsoft SQL Server, используемом EPM, отключена возможность выполнения системных команд.

EXEC sp_configure 'show advanced options', 1;
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 0;
RECONFIGURE;

  1. Мониторинг логов: Настройте аудит запросов к IIS и SQL Server на предмет подозрительных конструкций (например, UNION SELECT, WAITFOR DELAY или вызовов системных процедур).

  2. Использование WAF: Если Core Server доступен через прокси, настройте правила Web Application Firewall для блокировки типичных SQL-инъекций в теле и заголовках HTTP-запросов.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей