Ivanti Endpoint Manager (EPM) 취약점 CVE-2024-29824 경고 및 권고

US CISA adds Ivanti EPM flaw to its Known Exploited Vulnerabilities catalog

US CISA adds Ivanti EPM flaw to its Known Exploited Vulnerabilities catalog

 

Ivanti Endpoint Manager Flaw Actively Targeted, CISA Warns Agencies to Patch

Ivanti Endpoint Manager Flaw Actively Targeted, CISA Warns Agencies to Patch

 

Hackers Now Exploit Ivanti Endpoint Manager Vulnerability to Launch Cyber Attacks

Hackers Now Exploit Ivanti Endpoint Manager Vulnerability to Launch Cyber Attacks

 

• 개요
  • 미국 사이버 보안 및 인프라 보안국(CISA)는 Ivanti Endpoint Manager(EPM)의 SQL 인젝션 취약점(CVE-2024-29824)을 Known Exploited Vulnerabilities(KEV) 목록에 추가
  • 이 취약점은 CVSS 점수 9.6으로 심각한 보안 위협으로 분류되며, 원격 코드 실행(RCE)이 가능
• 주요 취약점
  • CVE-2024-29824
    • SQL 인젝션 취약점으로, Ivanti EPM 2022 SU5 및 이전 버전에서 발생
    • 공격자는 동일한 네트워크 내에서 인증 없이 악성 코드를 실행할 수 있음
  • Horizon3.ai는 해당 취약점의 개념 증명(PoC)을 발표하며, PatchBiz.dll 파일 내 RecordGoodApp() 함수에서 문제가 발생한다고 설명
  • Ivanti는 이 취약점이 제한된 수의 고객에게서 실제로 악용되고 있음을 확인
• 다른 관련 취약점
  • CVE-2024-8190: OS 명령 주입 취약점 (CVSS 점수: 7.2)
  • CVE-2024-8963: 경로 탐색 취약점 (CVSS 점수: 9.4)
  • CVE-2024-7593: 인증 우회 취약점 (CVSS 점수: 9.8)
• 위협 및 영향
  • 이 취약점은 Ivanti EPM의 코어 서버에서 발생하며, 원격 코드 실행을 통해 공격자는 민감한 데이터에 접근하거나 네트워크 내 다른 장치로 이동할 수 있음
  • 공격자는 SQL 쿼리를 악용하여 서버에 대한 제어권을 얻고, xp_cmdshell을 통해 명령을 실행할 수 있음
• CISA 권고
  • 연방 민간 행정 기관(FCEB)은 2024년 10월 23일까지 해당 취약점에 대한 패치를 적용해야 함
  • 모든 기관 및 조직은 Known Exploited Vulnerabilities(KEV) 카탈로그를 검토하고, 취약점이 포함된 시스템에 대해 적시 패치를 적용하여 사이버 공격에 대한 위험 노출을 최소화해야 함
• 조치 사항
  • 즉시 패치를 적용하여 보안 위협에 대응
  • 원격 접근이 활성화된 시스템에서는 원격 접근 비활성화, 이중 인증(2FA) 및 접근 제어 목록(ACL)을 통해 보안 강화