【已复现】Ivanti Endpoint Manager 反序列化致远程代码执行漏洞（CVE-2024-29847）

文章预览

Ivanti Endpoint Manager（EPM） 是一款企业级的设备管理解决方案，提供设备配置、补丁管理和软件分发等功能。 2024 年 9 月，互联网公开披露了该系统中的一个远程代码执行漏洞（CVE-2024-29847）。经分析，攻击者可以利用该漏洞在无需用户交互的情况下，执行远程代码获得服务器的最高权限，建议受影响的客户尽快修复漏洞。 漏洞描述   Description   0 1 漏洞成因 在 EPM 的 AgentPortal 服务中，存在一个严重的未经身份验证的远程代码执行漏洞（CVE-2024-29847）。该漏洞的根本原因是服务在启动时不安全地注册了 .NET Remoting 的 TcpChannel，且未正确设置安全参数（未启用安全通道，TypeFilterLevel 设置为 Low）。这导致攻击者可以利用 .NET Remoting 的不安全反序列化，通过发送精心构造的恶意数据包，绕过安全检查，在服务器上执行任意代码。 漏洞影响 成功利用该漏洞 ………………………………