CVE-2024-13159: Vulnerabilità critica di coercizione delle credenziali in Ivanti EPM

Ivanti Endpoint Manager (EPM) è una soluzione aziendale ampiamente utilizzata per la sicurezza degli endpoint e la gestione del software. Nel febbraio 2025, il ricercatore di sicurezza Zach Hanley di Horizon3.ai ha divulgato una vulnerabilità critica in questo prodotto insieme a un exploit proof-of-concept. Con un punteggio CVSS di 9.8, questa vulnerabilità rappresenta un rischio di sicurezza significativo per le organizzazioni che hanno implementato Ivanti EPM nel proprio ambiente.

Prodotto Ivanti Endpoint Manager
Data 2025-03-06 15:14:56
Informazioni Trending, Fix Available

Riassunto tecnico

La vulnerabilità è presente nel file WSVulnerabilityCore.dll, specificamente nella classe VulCore all’interno del namespace LANDesk.ManagementSuite.WSVulnerabilityCore. Il metodo GetHashForWildcardRecursive, che calcola gli hash per i file in una directory specificata, non valida correttamente l’input controllato dall’utente.

Quando il metodo chiama Path.GetDirectoryName() su questo input non validato e lo combina utilizzando Path.Combine(), crea una variabile rootPath che può essere manipolata per puntare a un percorso UNC remoto. Un attaccante non autenticato può sfruttare questo comportamento creando una richiesta speciale per reindirizzare le operazioni di hashing verso un server SMB controllato dall’attaccante.

Questo costringe il server EPM a tentare l’autenticazione con il server malevolo, consentendo all’attaccante di catturare gli hash NTLM dal sistema target. Gli hash catturati possono poi essere utilizzati per ulteriori attacchi, inclusa la tecnica pass-the-hash, al fine di spostarsi lateralmente nella rete ed eventualmente aumentare i privilegi.

Raccomandazioni

Le organizzazioni che utilizzano Ivanti EPM dovrebbero intraprendere immediatamente le seguenti azioni:

  1. Aggiornare alle ultime versioni patchate rilasciate da Ivanti a gennaio 2025
  2. Implementare la segmentazione di rete per limitare il traffico SMB in uscita dai server EPM
  3. Monitorare i tentativi di autenticazione sospetti e le connessioni di rete anomale dai server EPM
  4. Considerare l’applicazione del principio del privilegio minimo agli account di servizio che eseguono EPM
  5. Distribuire regole di rilevamento di rete per identificare tentativi di sfruttamento mirati a questa vulnerabilità

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In