This post is also available in: Português
A CVE-2024-29847 é uma vulnerabilidade de segurança que afeta o Ivanti Endpoint Manager (EPM), uma solução utilizada para gerenciar dispositivos e políticas de segurança em redes corporativas. Essa falha foi detectada no portal do agente Ivanti EPM e permite que um invasor remoto não autenticado explore falha de desserialização de dados, levando à execução remota de código (RCE).
O produto afetado: Ivanti Endpoint Manager (EPM)
O Ivanti EPM é uma ferramenta de gerenciamento unificado de terminais que permite às empresas controlar, monitorar e proteger uma ampla gama de dispositivos em sua rede. Entre suas funcionalidades estão a automação de tarefas, distribuição de software, patches de segurança e monitoramento de conformidade. Por ser um produto central no gerenciamento de dispositivos corporativos, falhas como a CVE-2024-29847 podem ter um impacto significativo na integridade e na segurança das redes que utilizam essa solução.
Explicando a CVE-2024-29847
A CVE-2024-29847 envolve uma vulnerabilidade de desserialização de dados não confiáveis. Esse tipo de falha ocorre quando um sistema desserializa dados (ou seja, converte informações serializadas de volta ao seu formato original) sem realizar as verificações adequadas, permitindo que um invasor injete código malicioso no processo. No caso da CVE-2024-29847, a falha está no processo de desserialização no portal do agente do Ivanti EPM, que pode ser explorada remotamente.
No contexto da CVE-2024-29847, essa falha permite que dados manipulados por um invasor sejam interpretados como válidos, abrindo a porta para a execução de código não autorizado. Isso pode levar a ataques graves, como o controle completo de um sistema vulnerável.
Gravidade e pontuação CVSS
Com base nos dados da NVD (National Vulnerability Database) e em informações fornecidas pela Ivanti, a CVE-2024-29847 recebeu uma pontuação CVSS de 9.8, classificando-a como uma vulnerabilidade crítica. Isso se deve à sua capacidade de permitir que um invasor execute código remotamente sem a necessidade de autenticação.
Mecanismo de exploração
A exploração da CVE-2024-29847 pode ocorrer de forma remota, sem a necessidade de autenticação. Um invasor pode enviar dados serializados maliciosos ao portal do agente do Ivanti EPM. Devido à falha no processo de desserialização, esses dados são interpretados como válidos e executados, o que permite ao atacante injetar e executar código no sistema vulnerável.
Essa falha pode ser utilizada para diversas finalidades, como instalar malware nos dispositivos gerenciados, realizar movimentos laterais dentro da rede corporativa e coletar dados sensíveis, incluindo credenciais e informações de configuração.
Necessidade de correção
A Ivanti já lançou patches de correção para as versões vulneráveis do Ivanti EPM, e é importante que as organizações apliquem as atualizações mais recentes, incluindo o patch de setembro de 2024, que mitiga a vulnerabilidade.
A correção dessa falha envolve melhorias na forma como o Ivanti EPM gerencia a desserialização de dados, assegurando que apenas dados confiáveis sejam interpretados pelo sistema. Isso elimina a possibilidade de injeção de código malicioso por meio desse processo.
A CVE-2024-29847 destaca a importância de garantir que todos os componentes de segurança e gerenciamento de dispositivos estejam sempre atualizados e configurados corretamente. Devido à sua alta criticidade, a mitigação dessa vulnerabilidade deve ser uma prioridade para as empresas que utilizam o Ivanti EPM. A aplicação imediata dos patches de segurança mais recentes é essencial para evitar potenciais ataques e compromissos de segurança.
This post is also available in: Português
