Kritische Sicherheitslücke CVE-2024-22026 in Ivanti EPMM entdeckt

Table of Contents

Ivantis Enterprise Mobility Management Platform (EPMM), ehemals bekannt als “MobileIron Core”, weist eine schwerwiegende Sicherheitslücke (CVE-2024-22026) auf, die lokale Privilegieneskalation über den Befehl [install rpm url] in der eingeschränkten Shell (clish) ermöglicht. Diese Schwachstelle betrifft Versionen vor 12.1.0.0, 12.0.0.0 und 11.12.0.1 und wurde mit den neuesten Updates von Ivanti behoben.

Hintergrund und Kontext

Im Sommer 2023 stand Ivanti im Fokus mehrerer Zero-Day-Schwachstellen, was dazu führte, dass die Cybersecurity-Community verstärkt auf die Sicherheitsvorkehrungen von Ivanti aufmerksam wurde. Das US-amerikanische Department of Homeland Security (DHS) hatte damals bereits ein Komplettversagen Microsofts bei der Sicherung von Cloud-Daten diagnostiziert. Motiviert durch diese Ereignisse begann Redline Cyber Security mit der Untersuchung der EPMM-Appliance und entdeckte die Schwachstelle CVE-2024-22026.
CVE-2024-22026 resultiert aus unzureichender Validierung im EPMM CLI-Tool-Befehl zur Installation von RPM-Paketen. Angreifer können ein bösartiges RPM-Paket von einer URL laden, ohne dass dessen Authentizität überprüft wird. Dies ermöglicht das Ausführen beliebiger Befehle mit Root-Rechten.

Exploitation und Angriff:

  1. Erstellung eines bösartigen RPM:
    Ein Angreifer erstellt ein RPM-Paket mit Skripten zur Privilegieneskalation. Ein Beispielbefehl zur Erstellung lautet:
   fpm -s dir -t rpm -n ivanti-privesc -v 13.37 -a i386 --description "Ivanti POC" --maintainer "securekomodo" --before-install preinstall.sh --after-install postinstall.sh -C .

Das Paket enthält Skripte, die den aktuellen Benutzer und dessen Berechtigungsstufe an den Angreifer-Server melden und einen neuen Root-Benutzer hinzufügen.

  1. Hosting des bösartigen Pakets:
    Das erstellte Paket wird auf einem Angreifer-Server gehostet, der HTTP-Traffic an den richtigen Endpunkt weiterleitet.
  2. Initiierung des Exploits:
    Der Angreifer erhält Zugriff auf die EPMM CLI und führt den Befehl [install rpm url /] aus. Die Appliance lädt und installiert das RPM-Paket ohne Überprüfung.
  3. Login als Root:
    Der Angreifer kann sich nun über SSH als neu erstellter Root-Benutzer anmelden und hat vollen Zugriff auf das System.

Die erfolgreiche Ausnutzung von CVE-2024-22026 kann schwerwiegende Folgen haben, darunter:

  • Vollständige Systemkompromittierung
  • Unbefugter Zugriff auf sensible Daten
  • Potenzial für weitere Netzwerkangriffe

Ivanti hat Patches veröffentlicht, um CVE-2024-22026 in den folgenden Versionen zu beheben:

  • 12.1.0.0
  • 12.0.0.0
  • 11.12.0.1

Nutzer werden dringend aufgefordert, ihre EPMM-Installationen auf diese Versionen zu aktualisieren.

Related Posts

Froxlor: Blind XSS Schwachstelle führt zur vollständigen Kompromittierung

In der beliebten Webhosting-Management-Software Froxlor wurde eine schwerwiegende Sicherheitslücke entdeckt. Blind Cross-Site Scripting (Blind XSS) Schwachstelle ermöglicht es Angreifern, die Kontrolle über die Anwendung zu übernehmen. Diese Sicherheitslücke wurde unter der CVE-Nummer CVE-2024-34070 registriert und betrifft alle Versionen vor 2.1.9.

Read More

Check Point warnt vor lauernden Gefahren im Foxit PDF-Reader

Eine offene Schwachstelle wird derzeit von Hackern für Phishing ausgenutzt

Read More

SSID Confusion Angriff verbindet WLAN-Clients mit falschem Netzwerk

Sicherheitsforscher der DistriNet-Gruppe der KU Leuven haben eine gravierende Schwachstelle in der Authentifizierung von WLAN-Netzwerken entdeckt. Diese Sicherheitslücke, die als „SSID-Confusion“ bezeichnet wird, ermöglicht es Angreifern, WLAN-Clients dazu zu bringen, sich mit einem anderen geschützten Netzwerk zu verbinden, als ursprünglich beabsichtigt. Dies geschieht trotz der Nutzung von Sicherheitsprotokollen wie WPA2 und WPA3.

Read More