Ivanti Endpoint Manager（EPM） 是一款企业级的设备管理解决方案，提供设备配置、补丁管理和软件分发等功能。

2024 年 9 月，互联网公开披露了该系统中的一个远程代码执行漏洞（CVE-2024-29847）。经分析，攻击者可以利用该漏洞在无需用户交互的情况下，执行远程代码获得服务器的最高权限，建议受影响的客户尽快修复漏洞。

01 漏洞描述

漏洞成因

在 EPM 的 AgentPortal 服务中，存在一个严重的未经身份验证的远程代码执行漏洞（CVE-2024-29847）。该漏洞的根本原因是服务在启动时不安全地注册了 .NET Remoting 的 TcpChannel，且未正确设置安全参数（未启用安全通道，TypeFilterLevel 设置为 Low）。这导致攻击者可以利用 .NET Remoting 的不安全反序列化，通过发送精心构造的恶意数据包，绕过安全检查，在服务器上执行任意代码。

漏洞影响

成功利用该漏洞的攻击者可以实现远程代码执行，控制受影响的服务器，潜在的危害包括数据泄露、系统崩溃，甚至可能被用于传播勒索等恶意软件。

处置优先级：高

漏洞类型：反序列化

漏洞危害等级：严重

权限认证要求：网络远程

系统配置要求：默认配置可利用

用户交互要求：无需用户交互

利用成熟度：POC/EXP已公开

批量可利用性：可使用通用 POC/EXP，批量检测/利用

修复复杂度：中等，官方提供补丁修复方案

02 影响版本

version < 2022SU6

version < 2024 September Update

03 解决方案

升级修复方案

仅对可信来源开放EPM的AgentPortal服务端口，需要注意该服务指示系统选择任何可用的端口（TcpChannel(0)），因此每次都会在随机端口上监听。

临时缓解方案

官方已发布升级补丁包，可以在Ivanti官网下载使用https://forums.ivanti.com/s/article/Security-Advisory-EPM-September-2024-for-EPM-2024-and-EPM-2022

Ivanti Endpoint Manager 2024：请尽快安装相关的安全补丁，或者将软件升级至 2024 SU1 或更高版本。

Ivanti Endpoint Manager 2022：建议升级到 2022 SU6 或更高的版本。

04 产品支持

云图：默认支持该产品的指纹识别。

雷池：非HTTP流量，不支持检测。

全悉：已发布规则升级包支持该漏洞利用行为的检测。