CVE-2024-13159 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Ivanti EPM 存在**绝对路径遍历**漏洞。 💥 **后果**：允许**远程、未经身份验证**的攻击者利用该漏洞**泄露敏感信息**，甚至进行凭证强制以用于中继攻击。

🔍 **CWE**：CWE-36（相对/绝对路径遍历）。 🐛 **缺陷点**：`GetHashForWildcardRecursive` 端点中的 **wildcard 参数**缺乏适当的输入验证，允许指定远程 UNC 路径。

🏢 **厂商**：Ivanti。 📦 **产品**：Endpoint Manager (EPM)。 📅 **影响版本**：EPM 2024 及 EPM 2022 SU6（参考官方安全公告）。

🕵️ **黑客能力**： 1. **未授权访问**：无需登录即可利用。 2. **凭证强制**：强制 EPM 机器账户进行 NTLM 认证。 3. **数据泄露**：CVSS 评分显示对**机密性、完整性、可用性**均有高影响（C:H/I:H/A:H）。

📉 **门槛极低**： ✅ **无需认证**（PR:N）。 ✅ **攻击复杂度低**（AC:L）。 ✅ **无需用户交互**（UI:N）。 ✅ **网络远程利用**（AV:N）。

💻 **有现成 Exp**： 🔗 **PoC 已公开**：GitHub 上有 `CVE-2024-13159.py` 概念验证代码。 🔗 **扫描模板**：ProjectDiscovery Nuclei 模板已更新。 ⚠️ **在野风险**：PoC 可用于中继攻击，风险极高。

🔎 **自查方法**： 1. 使用 **Nuclei** 扫描模板 `http/cves/2024/CVE-2024-13159.yaml`。 2. 检查 Ivanti EPM 服务是否暴露 `GetHashForWildcardRecursive` 接口。 3. 监控是否有异常的 NTLM 认证请求触发。

🛡️ **官方修复**： 📢 **已发布安全公告**：2025年1月14日 Ivanti 发布 EPM 2024 和 2022 SU6 的安全补丁。 ✅ **建议**：立即联系 Ivanti 获取最新补丁并应用。

🚧 **临时规避**： 1. **网络隔离**：限制对 Ivanti EPM 管理接口的访问，仅允许可信 IP。 2. **禁用 NTLM**：如果可能，在域策略中限制 NTLM 认证的使用。 3. **WAF 规则**：拦截包含异常 UNC 路径或 wildcard 参数的请求。

🔥 **优先级：极高 (Critical)**。 💡 **理由**： - **CVSS 满分风险**：远程、无认证、高影响。 - **PoC 公开**：攻击工具已现，极易被自动化利用。 - **凭证中继风险**：可能导致域控权限沦陷。请立即修补！