Plateforme
ivanti
Composant
ivanti-endpoint-manager
La vulnérabilité CVE-2024-13158 est une faille d'exécution de code à distance (RCE) présente dans Ivanti Endpoint Manager (EPM) avant la mise à jour de sécurité de janvier 2024-2025 et la version SU6 de janvier 2022. Cette faille permet à un attaquant authentifié disposant de privilèges d'administrateur d'exécuter du code arbitraire sur le système cible. L'impact est significatif, car un accès non autorisé peut compromettre l'intégrité et la confidentialité des données. La mise à jour de sécurité est disponible pour corriger cette vulnérabilité.
Un attaquant ayant accès authentifié avec des privilèges d'administrateur peut exploiter cette vulnérabilité pour exécuter du code malveillant sur le serveur Ivanti Endpoint Manager. Cela pourrait permettre à l'attaquant de prendre le contrôle total du système, d'accéder à des données sensibles, de modifier la configuration du système ou de lancer d'autres attaques sur le réseau. La nature de la vulnérabilité, qui implique une recherche de chemin d'accès de ressources non bornée, suggère qu'elle pourrait être exploitée pour exécuter des commandes système arbitraires, potentiellement similaire à des attaques par injection de commandes. Le risque est particulièrement élevé dans les environnements où Ivanti EPM est utilisé pour gérer un grand nombre d'endpoints, car une compromission du serveur EPM pourrait avoir un impact sur l'ensemble du réseau.
La vulnérabilité CVE-2024-13158 a été rendue publique le 14 janvier 2025. Il n'y a pas d'indication actuelle qu'elle soit activement exploitée dans la nature sauvage, mais sa sévérité (CVSS 7.2) et la possibilité d'exécution de code à distance en font une cible potentielle pour les attaquants. La vulnérabilité n'est pas encore répertoriée sur le KEV (Know Exploited Vulnerabilities) de CISA, mais sa probabilité d'exploitation est considérée comme moyenne en raison de la disponibilité des privilèges d'administrateur requis. Des preuves de concept (PoC) publiques pourraient émerger, augmentant le risque d'exploitation.
Organizations heavily reliant on Ivanti Endpoint Manager for endpoint management are at significant risk. This includes enterprises with complex endpoint deployments, those using legacy configurations of Ivanti Endpoint Manager, and organizations that have not consistently applied security updates. Shared hosting environments utilizing Ivanti Endpoint Manager are also particularly vulnerable due to the potential for cross-tenant exploitation.
• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID = 1001 and ProviderName = 'Ivanti Endpoint Manager'" | Where-Object {$_.Message -match 'resource search'}• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -match 'Ivanti Endpoint Manager'}• windows / supply-chain:
reg query "HKLM\SOFTWARE\Ivanti\Endpoint Manager" /v SearchPathdisclosure
Statut de l'Exploit
EPSS
21.47% (percentile 96%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à appliquer la mise à jour de sécurité de janvier 2024-2025 ou la version SU6 de janvier 2022 pour Ivanti Endpoint Manager. Si l'application de la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises pour réduire le risque. Il est recommandé de restreindre l'accès au serveur EPM aux seuls utilisateurs autorisés et de désactiver les fonctionnalités inutiles. L'implémentation de règles WAF (Web Application Firewall) pour bloquer les requêtes suspectes peut également aider à atténuer le risque. Surveillez attentivement les journaux d'accès et d'erreurs du serveur EPM pour détecter toute activité suspecte. Après l'application de la mise à jour, vérifiez que la vulnérabilité a été corrigée en effectuant un test de pénétration ou en utilisant un outil de scan de vulnérabilités.
Aplique las actualizaciones de seguridad de enero de 2025 para Ivanti EPM 2024 y EPM 2022 SU6. Estas actualizaciones corrigen la vulnerabilidad de la ruta de búsqueda de recursos no limitada y previenen la posible ejecución remota de código.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-13158 is a remote code execution vulnerability in Ivanti Endpoint Manager, allowing authenticated admins to execute code via an unbounded resource search path.
You are affected if you are running Ivanti Endpoint Manager versions prior to the 2024 January-2025 Security Update or 2022 SU6 January-2025 Security Update.
Upgrade to the 2024 January-2025 Security Update or later to resolve the vulnerability. Consider restricting admin access as a temporary workaround.
While no public exploits are currently available, the vulnerability's severity and potential impact suggest a high probability of exploitation.
Refer to the official Ivanti security advisory for detailed information and remediation steps: [https://www.ivanti.com/support/security-advisories/](https://www.ivanti.com/support/security-advisories/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.