CVE-2024-13160 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Ivanti EPM 存在**绝对路径遍历**漏洞。 💥 **后果**：允许远程未授权攻击者**泄露敏感信息**，破坏系统机密性、完整性和可用性。

🔍 **CWE**：CWE-36（相对/绝对路径遍历）。 📍 **缺陷点**：`GetHashForWildcard` 端点对 `wildcard` 参数**输入验证不当**，允许指定远程 UNC 路径。

🏢 **厂商**：Ivanti。 📦 **产品**：Endpoint Manager (EPM)。 📅 **涉及版本**：EPM 2024 及 EPM 2022 SU6（参考官方安全公告）。

🕵️ **权限**：远程**未身份验证**攻击者。 📂 **数据**：通过触发 NTLM 认证，可**强制 EPM 机器账户凭证**交互，从而**泄露敏感信息**。

📉 **门槛极低**。 ✅ **无需认证**：远程未授权即可利用。 ⚙️ **无需交互**：无需用户界面操作（UI:N）。

🧪 **有现成 PoC**。 🔗 **来源**：ProjectDiscovery Nuclei 模板已发布（CVE-2024-13160.yaml）。 ⚠️ **在野**：数据未明确提及，但 PoC 公开意味着利用成本极低。

🔎 **扫描特征**：检测对 `GetHashForWildcard` 端点的异常请求。 🛠️ **工具**：使用 Nuclei 模板或类似漏洞扫描器检测路径遍历特征。 📝 **关注点**：检查是否包含远程 UNC 路径参数。

🛡️ **官方已响应**。 📰 **公告**：Ivanti 于 2025-01-14 发布安全公告（EPM Jan 2025）。 💡 **建议**：立即查阅官方论坛链接获取最新补丁或缓解措施。

🚧 **临时规避**： 1. **网络隔离**：限制对 EPM 管理接口的访问。 2. **输入过滤**：在 WAF/防火墙层拦截包含 UNC 路径的请求。 3. **最小权限**：确保 EPM 服务账户权限最小化。

🔥 **优先级：极高**。 📊 **CVSS**：9.8 (Critical)。 ⚡ **理由**：未授权、远程、高影响。建议**立即**评估并应用官方修复或缓解措施。