ISGroup Cybersicherheitsberatung

CVE-2024-13159: Kritische Schwachstelle zur Erzwingung von Anmeldeinformationen in Ivanti EPM

Ivanti Endpoint Manager (EPM) ist eine weit verbreitete Unternehmenslösung für Endpunktsicherheit und Softwaremanagement. Im Februar 2025 veröffentlichte der Sicherheitsforscher Zach Hanley von Horizon3.ai eine kritische Schwachstelle in diesem Produkt zusammen mit einem Proof-of-Concept-Exploit. Mit einem CVSS-Wert von 9.8 stellt diese Schwachstelle ein erhebliches Sicherheitsrisiko für Unternehmen dar, die Ivanti EPM in ihrer Umgebung einsetzen.

ProduktIvanti Endpoint Manager
Datum06.03.2025 15:14:56
Informationen
  • Trending
  • Fix verfügbar

Technische Zusammenfassung

Die Schwachstelle befindet sich in der Datei WSVulnerabilityCore.dll, speziell in der Klasse VulCore innerhalb des Namespace LANDesk.ManagementSuite.WSVulnerabilityCore. Die Methode GetHashForWildcardRecursive, die Hashes für Dateien in einem angegebenen Verzeichnis berechnet, validiert die vom Benutzer gesteuerte Eingabe nicht ordnungsgemäß.

Wenn die Methode Path.GetDirectoryName() auf diese nicht validierte Eingabe anwendet und sie mittels Path.Combine() kombiniert, entsteht eine rootPath-Variable, die manipuliert werden kann, um auf einen entfernten UNC-Pfad zu zeigen. Ein nicht authentifizierter Angreifer kann dieses Verhalten ausnutzen, indem er eine speziell präparierte Anfrage erstellt, um die Hashing-Operationen auf einen vom Angreifer kontrollierten SMB-Server umzuleiten.

Dies zwingt den EPM-Server dazu, eine Authentifizierung mit dem bösartigen Server zu versuchen, wodurch der Angreifer NTLM-Hashes vom Zielsystem abgreifen kann. Die erfassten Hashes können dann für weitere Angriffe verwendet werden, einschließlich der Pass-the-Hash-Technik, um sich lateral im Netzwerk zu bewegen und möglicherweise die Privilegien zu eskalieren.

Empfehlungen

Unternehmen, die Ivanti EPM einsetzen, sollten umgehend die folgenden Maßnahmen ergreifen:

  1. Aktualisierung auf die neuesten, im Januar 2025 von Ivanti veröffentlichten Patch-Versionen.
  2. Implementierung einer Netzwerksegmentierung, um ausgehenden SMB-Datenverkehr von EPM-Servern zu beschränken.
  3. Überwachung auf verdächtige Authentifizierungsversuche und anomale Netzwerkverbindungen von EPM-Servern.
  4. Berücksichtigung des Prinzips der geringsten Rechte (Least Privilege) für Dienstkonten, unter denen EPM ausgeführt wird.
  5. Bereitstellung von Netzwerkerkennungsregeln zur Identifizierung von Exploit-Versuchen, die auf diese Schwachstelle abzielen.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *