PoC Exploit Released for Ivanti EPM Vulnerabilities
PoC Exploit Released for Ivanti EPM Vulnerabilities
A recent investigation into Ivanti Endpoint Manager (EPM) has uncovered four critical vulnerabilities that could allow unauthenticated attackers.
gbhackers.com
- 취약점 개요
- Ivanti Endpoint Manager(EPM)에서 발견된 4개의 심각한 취약점은 인증되지 않은 공격자가 머신 계정 자격 증명을 악용해 릴레이 공격을 수행할 수 있게 함
- 취약점은 WSVulnerabilityCore.dll의 VulCore 클래스 내 사용자 입력 검증 부족으로 발생
- 주요 취약점
- CVE-2024-10811: GetHashForFile 메서드의 자격 증명 강요 취약점
- CVE-2024-13161: GetHashForSingleFile 메서드의 자격 증명 강요 취약점
- CVE-2024-13160: GetHashForWildcard 메서드의 자격 증명 강요 취약점
- CVE-2024-13159: GetHashForWildcardRecursive 메서드의 자격 증명 강요 취약점
- 취약점은 원격 UNC 경로를 생성하도록 허용하여 서버가 임의의 디렉토리에서 파일을 읽도록 유도 가능
- 공격 시나리오 및 악용 체인
- 자격 증명 수집
- 공격자는 취약 API를 이용해 Ivanti EPM 서버가 악의적인 SMB 공유에 인증하도록 강요
- 서버는 NTLMv2 자격 증명을 전송하며, 공격자는 responder나 impacket-ntlmrelayx 도구로 이를 수집
- LDAP 릴레이 공격
- 수집된 자격 증명을 LDAP 서버에 릴레이하여 도메인 컨트롤러에 대한 권한 상승 시도
- 권한이 상승된 머신 계정을 생성하여 위임 권한을 부여
- 권한 상승 및 도메인 장악
- getST.py와 같은 도구를 사용해 Kerberos 티켓 위조
- 도메인 관리자 권한을 획득하여 CIFS 등 주요 서비스 접근 및 횡적 이동 수행
- 실험 결과, 초기 접근 후 몇 분 내 도메인 전체가 장악될 수 있음
- 자격 증명 수집
- 보안 권고
- Ivanti 권장 사항
- 2025년 1월 13일 배포된 최신 보안 패치를 즉시 적용
- 취약한 API 엔드포인트 접근 제한 및 인증 강화
- 네트워크 보호 조치
- SMB 및 LDAP 서비스에 대한 외부 접근 차단
- NTLM 릴레이 방지를 위해 SMB 서명 및 LDAP 채널 바인딩 활성화
- 탐지 및 모니터링
- 비정상적인 UNC 경로 접근 시도 및 NTLM 인증 요청 감시
- 도메인 컨트롤러의 머신 계정 생성 이벤트 로그 분석
- Ivanti 권장 사항
- 결론
- 단일 EPM 서버 침해가 전체 엔드포인트 장악으로 이어질 수 있어 대응 시급
- 입력 검증 및 인증 메커니즘 강화를 통해 유사 취약점 예방 필요
- 조직은 릴레이 공격 대응 체계 점검 및 네트워크 세분화 강화 권장
'Kant's IT > Vulnerability' 카테고리의 다른 글
| Microsoft Bing 취약점(CVE-2025-21355)으로 인한 원격 코드 실행 위험 (0) | 2025.02.24 |
|---|---|
| NVIDIA CUDA Toolkit 취약점 및 DoS 공격 위험 (1) | 2025.02.24 |
| Palo Alto PAN-OS 보안 취약점(CVE-2025-0108) 공격 경고 (0) | 2025.02.24 |
| Apache Ignite 취약점(CVE-2024-52577) 원격 코드 실행 가능 (0) | 2025.02.23 |
| Citrix NetScaler 권한 상승 취약점(CVE-2024-12284) 보안 패치 발표 (0) | 2025.02.23 |