Ivanti Endpoint Manager 在 2024 年 11 月安全更新之前或 2022 SU6 年 11 月安全更新之前存在路径遍历漏洞,允许具有管理员权限的远程身份验证攻击者实现远程代码 (Remote Code Execution)。
平台
ivanti
组件
ivanti-endpoint-manager
修复版本
2024 November Security Update
CVE-2024-50324 是 Ivanti Endpoint Manager 软件中的路径遍历漏洞。该漏洞允许具有管理员权限的远程身份验证攻击者利用此漏洞执行远程代码。受影响的版本包括所有早于 2024 年 11 月安全更新或 2022 SU6 年 11 月安全更新的版本。已发布 2024 年 11 月安全更新以解决此问题。
影响与攻击场景
攻击者可以利用此路径遍历漏洞,通过构造恶意的请求访问未经授权的文件或目录。由于 Ivanti Endpoint Manager 通常具有管理员权限,因此攻击者可以利用此漏洞在受影响的系统上执行任意代码,从而完全控制系统。这可能导致敏感数据泄露、系统被破坏或进一步的攻击活动。此漏洞的潜在影响非常严重,因为它允许攻击者绕过正常的安全控制,并获得对系统的完全访问权限。如果攻击者能够利用此漏洞,他们可以窃取敏感数据,例如用户凭据、财务信息和知识产权。
利用背景
此漏洞已公开披露,并且可能存在公开的利用程序。目前尚无关于此漏洞被积极利用的公开报告,但由于其严重性和易利用性,建议尽快采取缓解措施。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的风险。
哪些人处于风险中翻译中…
Organizations heavily reliant on Ivanti Endpoint Manager for managing a large number of endpoints are particularly at risk. This includes organizations with legacy Ivanti Endpoint Manager deployments that have not been regularly updated. Shared hosting environments where multiple customers share the same Ivanti Endpoint Manager instance are also vulnerable, as a compromise of one customer's account could potentially impact others.
检测步骤翻译中…
• windows / supply-chain:
Get-WinEvent -LogName Security -Filter "EventID = 4625 -Message contains 'Ivanti Endpoint Manager'" | Where-Object {$_.Properties[0].Value -match '\\'}• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -match 'Ivanti Endpoint Manager'}• windows / supply-chain:
reg query "HKLM\Software\Ivanti\Endpoint Manager" /v UnauthorizedAccess攻击时间线
- Disclosure
disclosure
威胁情报
漏洞利用状态
EPSS
84.59% (99% 百分位)
CISA SSVC
CVSS 向量
这些指标意味着什么?
- Attack Vector
- 网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
- Attack Complexity
- 低 — 无需特殊条件,可以稳定地利用漏洞。
- Privileges Required
- 高 — 需要管理员或特权账户。
- User Interaction
- 无 — 攻击自动且无声,受害者无需任何操作。
- Scope
- 未改变 — 影响仅限于脆弱组件本身。
- Confidentiality
- 高 — 完全丧失机密性,攻击者可读取所有数据。
- Integrity
- 高 — 攻击者可写入、修改或删除任何数据。
- Availability
- 高 — 完全崩溃或资源耗尽,完全拒绝服务。
受影响的软件
弱点分类 (CWE)
时间线
- 已保留
- 发布日期
- 修改日期
- EPSS 更新日期
缓解措施和替代方案
缓解此漏洞的首要措施是立即将 Ivanti Endpoint Manager 升级至 2024 年 11 月安全更新版本。如果无法立即升级,可以考虑实施一些临时缓解措施,例如限制对 Ivanti Endpoint Manager 的访问,并审查所有用户帐户的权限。此外,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以阻止恶意请求。监控 Ivanti Endpoint Manager 的日志文件,以检测任何可疑活动。升级后,请验证漏洞是否已成功修复,可以通过尝试访问受保护的资源来测试。
修复方法翻译中…
Actualice Ivanti Endpoint Manager a la versión 2024 November Security Update o 2022 SU6 November Security Update, o una versión posterior. Esto corregirá la vulnerabilidad de path traversal y evitará la ejecución remota de código.
CVE 安全通讯
漏洞分析和关键警报直接发送到您的邮箱。
常见问题
什么是 CVE-2024-50324 — 路径遍历漏洞在 Ivanti Endpoint Manager 中?
CVE-2024-50324 是 Ivanti Endpoint Manager 软件中的一个路径遍历漏洞,允许攻击者访问未经授权的文件和目录,并可能执行代码。
我是否受到 CVE-2024-50324 在 Ivanti Endpoint Manager 中影响?
如果您正在使用 Ivanti Endpoint Manager 早于 2024 年 11 月安全更新或 2022 SU6 年 11 月安全更新的版本,则您可能受到此漏洞的影响。
我如何修复 CVE-2024-50324 在 Ivanti Endpoint Manager 中?
立即将 Ivanti Endpoint Manager 升级至 2024 年 11 月安全更新版本。
CVE-2024-50324 是否正在被积极利用?
虽然目前没有公开的利用报告,但由于漏洞的严重性,建议尽快采取缓解措施。
在哪里可以找到 Ivanti Endpoint Manager 的官方公告,其中包含有关 CVE-2024-50324 的信息?
请访问 Ivanti 的安全公告页面以获取更多信息:[https://www.ivanti.com/support/security-advisories/](https://www.ivanti.com/support/security-advisories/)