ISGroup Consultoría de Ciberseguridad

CVE-2024-13159: Vulnerabilidad crítica de coerción de credenciales en Ivanti EPM

Ivanti Endpoint Manager (EPM) es una solución empresarial ampliamente utilizada para la seguridad de endpoints y la gestión de software. En febrero de 2025, el investigador de seguridad Zach Hanley de Horizon3.ai reveló una vulnerabilidad crítica en este producto junto con un exploit de prueba de concepto (PoC). Con una puntuación CVSS de 9.8, esta vulnerabilidad representa un riesgo de seguridad significativo para las organizaciones que han implementado Ivanti EPM en su entorno.

ProductoIvanti Endpoint Manager
Fecha2025-03-06 15:14:56
Información
  • En tendencia
  • Corrección disponible

Resumen técnico

La vulnerabilidad está presente en el archivo WSVulnerabilityCore.dll, específicamente en la clase VulCore dentro del espacio de nombres LANDesk.ManagementSuite.WSVulnerabilityCore. El método GetHashForWildcardRecursive, que calcula los hashes para los archivos en un directorio especificado, no valida correctamente la entrada controlada por el usuario.

Cuando el método llama a Path.GetDirectoryName() sobre esta entrada no validada y la combina utilizando Path.Combine(), crea una variable rootPath que puede ser manipulada para apuntar a una ruta UNC remota. Un atacante no autenticado puede aprovechar este comportamiento creando una solicitud especial para redirigir las operaciones de hashing hacia un servidor SMB controlado por el atacante.

Esto obliga al servidor EPM a intentar la autenticación con el servidor malicioso, permitiendo al atacante capturar los hashes NTLM del sistema objetivo. Los hashes capturados pueden utilizarse posteriormente para ataques adicionales, incluida la técnica de “pass-the-hash”, con el fin de moverse lateralmente en la red y, eventualmente, escalar privilegios.

Recomendaciones

Las organizaciones que utilizan Ivanti EPM deben tomar inmediatamente las siguientes medidas:

  1. Actualizar a las últimas versiones parcheadas lanzadas por Ivanti en enero de 2025.
  2. Implementar la segmentación de red para limitar el tráfico SMB saliente desde los servidores EPM.
  3. Monitorear los intentos de autenticación sospechosos y las conexiones de red anómalas desde los servidores EPM.
  4. Considerar la aplicación del principio de privilegio mínimo a las cuentas de servicio que ejecutan EPM.
  5. Desplegar reglas de detección de red para identificar intentos de explotación dirigidos a esta vulnerabilidad.

[Callforaction-THREAT-Footer]

In