Ivantis Enterprise Mobility Management Platform (EPMM), ehemals bekannt als „MobileIron Core“, weist eine schwerwiegende Sicherheitslücke (CVE-2024-22026) auf, die lokale Privilegieneskalation über den Befehl [install rpm url] in der eingeschränkten Shell (clish) ermöglicht. Diese Schwachstelle betrifft Versionen vor 12.1.0.0, 12.0.0.0 und 11.12.0.1 und wurde mit den neuesten Updates von Ivanti behoben.
Hintergrund und Kontext
Im Sommer 2023 stand Ivanti im Fokus mehrerer Zero-Day-Schwachstellen, was dazu führte, dass die Cybersecurity-Community verstärkt auf die Sicherheitsvorkehrungen von Ivanti aufmerksam wurde. Das US-amerikanische Department of Homeland Security (DHS) hatte damals bereits ein Komplettversagen Microsofts bei der Sicherung von Cloud-Daten diagnostiziert. Motiviert durch diese Ereignisse begann Redline Cyber Security mit der Untersuchung der EPMM-Appliance und entdeckte die Schwachstelle CVE-2024-22026.
CVE-2024-22026 resultiert aus unzureichender Validierung im EPMM CLI-Tool-Befehl zur Installation von RPM-Paketen. Angreifer können ein bösartiges RPM-Paket von einer URL laden, ohne dass dessen Authentizität überprüft wird. Dies ermöglicht das Ausführen beliebiger Befehle mit Root-Rechten.
Exploitation und Angriff:
- Erstellung eines bösartigen RPM:
Ein Angreifer erstellt ein RPM-Paket mit Skripten zur Privilegieneskalation. Ein Beispielbefehl zur Erstellung lautet:
fpm -s dir -t rpm -n ivanti-privesc -v 13.37 -a i386 --description "Ivanti POC" --maintainer "securekomodo" --before-install preinstall.sh --after-install postinstall.sh -C .
Das Paket enthält Skripte, die den aktuellen Benutzer und dessen Berechtigungsstufe an den Angreifer-Server melden und einen neuen Root-Benutzer hinzufügen.
- Hosting des bösartigen Pakets:
Das erstellte Paket wird auf einem Angreifer-Server gehostet, der HTTP-Traffic an den richtigen Endpunkt weiterleitet. - Initiierung des Exploits:
Der Angreifer erhält Zugriff auf die EPMM CLI und führt den Befehl [install rpm url /] aus. Die Appliance lädt und installiert das RPM-Paket ohne Überprüfung. - Login als Root:
Der Angreifer kann sich nun über SSH als neu erstellter Root-Benutzer anmelden und hat vollen Zugriff auf das System.
Die erfolgreiche Ausnutzung von CVE-2024-22026 kann schwerwiegende Folgen haben, darunter:
- Vollständige Systemkompromittierung
- Unbefugter Zugriff auf sensible Daten
- Potenzial für weitere Netzwerkangriffe
Ivanti hat Patches veröffentlicht, um CVE-2024-22026 in den folgenden Versionen zu beheben:
- 12.1.0.0
- 12.0.0.0
- 11.12.0.1
Nutzer werden dringend aufgefordert, ihre EPMM-Installationen auf diese Versionen zu aktualisieren.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: