【安全资讯】CVE-2024-29824：Ivanti Endpoint Manager中的关键漏洞被积极利用

概要：

Ivanti Endpoint Manager（EPM）近期曝出一个关键漏洞CVE-2024-29824，该漏洞被积极利用，引发广泛关注。Ivanti EPM是一款广泛用于管理Windows、macOS、Chrome OS和物联网环境中的客户端设备的平台。网络安全和基础设施安全局（CISA）已对该漏洞发布紧急警告，强调受影响组织需立即采取补救措施。

主要内容：

Ivanti EPM版本2022 SU5及更早版本中存在一个严重的SQL注入漏洞，该漏洞可能允许未经身份验证的攻击者在相同网络内执行任意代码，从而获得对受影响系统的完全控制。漏洞源于RecordGoodApp方法缺乏对用户输入的验证，攻击者可通过操纵SQL数据库，注入恶意命令，利用该漏洞在服务账户的上下文下执行代码。

安全研究人员Horizon3公开了CVE-2024-29824漏洞的技术细节，并发布了概念验证（PoC）攻击工具，这使得恶意行为者更容易复制攻击。有迹象表明，漏洞利用时常使用xp_cmdshell命令在MS SQL日志中执行系统级命令。尽管xp_cmdshell是实现远程代码执行的流行方式，但专家警告可能存在其他利用途径。

CISA已将CVE-2024-29824添加至已知被利用漏洞目录，标记为关键威胁，政府机构被要求立即修补系统。CISA的业务指令（BOD）22-01要求联邦机构在2024年10月23日前完成修补。由于概念验证攻击工具的公开和漏洞的高影响，依赖Ivanti EPM的组织需立即应用补丁以减轻漏洞利用风险。