ISGroup Conseil en Cybersécurité

CVE-2024-13159 : Vulnérabilité critique de coercition des identifiants dans Ivanti EPM

Ivanti Endpoint Manager (EPM) est une solution d’entreprise largement utilisée pour la sécurité des terminaux et la gestion des logiciels. En février 2025, le chercheur en sécurité Zach Hanley de Horizon3.ai a divulgué une vulnérabilité critique dans ce produit, accompagnée d’un exploit de type preuve de concept (PoC). Avec un score CVSS de 9.8, cette vulnérabilité représente un risque de sécurité significatif pour les organisations ayant déployé Ivanti EPM dans leur environnement.

ProduitIvanti Endpoint Manager
Date06/03/2025 15:14:56
Informations
  • Tendance
  • Correctif disponible

Résumé technique

La vulnérabilité réside dans le fichier WSVulnerabilityCore.dll, plus précisément dans la classe VulCore au sein de l’espace de noms LANDesk.ManagementSuite.WSVulnerabilityCore. La méthode GetHashForWildcardRecursive, qui calcule les hashs des fichiers dans un répertoire spécifié, ne valide pas correctement les entrées contrôlées par l’utilisateur.

Lorsque la méthode appelle Path.GetDirectoryName() sur cette entrée non validée et la combine à l’aide de Path.Combine(), elle crée une variable rootPath qui peut être manipulée pour pointer vers un chemin UNC distant. Un attaquant non authentifié peut exploiter ce comportement en créant une requête spéciale pour rediriger les opérations de hachage vers un serveur SMB contrôlé par l’attaquant.

Cela force le serveur EPM à tenter une authentification auprès du serveur malveillant, permettant à l’attaquant de capturer les hashs NTLM du système cible. Les hashs capturés peuvent ensuite être utilisés pour des attaques ultérieures, y compris la technique de “pass-the-hash”, afin de se déplacer latéralement dans le réseau et éventuellement d’élever ses privilèges.

Recommandations

Les organisations utilisant Ivanti EPM doivent immédiatement prendre les mesures suivantes :

  1. Mettre à jour vers les dernières versions corrigées publiées par Ivanti en janvier 2025.
  2. Mettre en œuvre une segmentation réseau pour limiter le trafic SMB sortant des serveurs EPM.
  3. Surveiller les tentatives d’authentification suspectes et les connexions réseau anormales provenant des serveurs EPM.
  4. Envisager l’application du principe du moindre privilège aux comptes de service exécutant EPM.
  5. Déployer des règles de détection réseau pour identifier les tentatives d’exploitation ciblant cette vulnérabilité.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *