cve-2024-22024 - RunkIntel

# CVE-2024-22024 - Ivanti Connect Secure XXE Authentication Bypass (SAML) > [!high] CVSS 8.3 · EPSS 100º percentil - XXE no componente SAML do Ivanti Connect Secure permite bypass de autenticação · PoC público disponível · Explorado pelo [[unc5221]] ## Visão Geral A CVE-2024-22024 é uma vulnerabilidade de XML External Entity (XXE) no componente SAML do Ivanti Connect Secure, Policy Secure e ZTA Gateways. A falha permite que atacantes remotos não autenticados acessem recursos restritos ao injetar entidades XML externas maliciosas em requisições SAML, efetivamente bypassando controles de autenticação. Foi corrigida em 8 de fevereiro de 2024. A vulnerabilidade foi descoberta pela Ivanti durante revisão interna de código intensificada pela pressão pública após a exploração massiva de [[cve-2023-46805|CVE-2023-46805]]. Pesquisadores da watchTowr também a descobriram independentemente e públicaram PoC. Com EPSS de 94% (100º percentil), esta CVE tem altíssima probabilidade de exploração real - e está confirmadamente associada ao grupo China-nexus [[unc5221]], especializado em appliances VPN e gateways de borda. > [!latam] Relevância para Brasil e LATAM > Appliances Ivanti Connect Secure são utilizados como gateways VPN em grandes organizações brasileiras do setor financeiro, governo e tecnologia. O bypass de autenticação sem credenciais torna esta CVE acessível a qualquer ator com acesso à interface de gerenciamento exposta à internet. Organizações que não aplicaram o patch de fevereiro de 2024 permanecem vulneráveis a uma série de exploits encadeados documentados pelo **UNC5221**. ## Resumo **CVE-2024-22024** é uma vulnerabilidade de **XML External Entity (XXE)** no componente **SAML** do Ivanti Connect Secure, Policy Secure e ZTA Gateways. A falha permite que atacantes remotos não autenticados acessem recursos restritos ao injetar entidades XML externas maliciosas em requisições SAML, efetivamente bypassando controles de autenticação. A vulnerabilidade foi descoberta pela Ivanti durante revisão interna de código, intensificada pela pressão pública após a exploração massiva de [[cve-2023-46805|CVE-2023-46805]] e CVE-2024-21887. Pesquisadores da **watchTowr** também descobriram independentemente a falha e públicaram PoC. O componente SAML vulnerável bypassa mitigações XML anteriormente implementadas pela Ivanti em janeiro de 2024. **Pontuação de risco:** - CVSS v3.1: **8.3** (Alto) - EPSS: **45%** de probabilidade de exploração - PoC público disponível (watchTowr) - Parte da série de vulnerabilidades críticas do Ivanti Connect Secure de 2024 ## Detalhes Técnicos A vulnerabilidade reside no parser XML do componente SAML (Security Assertion Markup Language): 1. **Endpoint vulnerável:** `/dana-na/auth/saml-sso.cgi` e `/dana-ws/saml.ws` 2. **Injeção XXE:** O parser XML não desabilita entidades externas no processamento de SAMLRequests 3. **Entidade maliciosa:** Atacante inclui declaração DOCTYPE com entidade externa apontando para arquivo interno ou recurso externo 4. **Bypass de autenticação:** A resolução da entidade externa permite acesso a endpoints restritos normalmente apenas acessíveis após autenticação 5. **Impacto adicional:** Leitura de arquivos locais, SSRF (Server-Side Request Forgery), potencial DoS via Billion Laughs attack **Payload exemplo (conceitual):** ```xml <?xml version="1.0"?> <!DOCTYPE foo [<!ENTITY xxe SYSTEM "file:///etc/passwd">]> <SAMLRequest>&xxe;</SAMLRequest> ``` ## Exploração **Status atual:** PoC público disponível. Exploração em contexto de cadeia com outras vulnerabilidades Ivanti. A vulnerabilidade é especialmente perigosa quando encadeada com outras falhas da série Ivanti 2024, pois pode ser usada para recuperar acesso após evição de atores de ameaça. A watchTowr demonstrou exploração trivial do endpoint vulnerável. **Grupos de ameaça utilizando:** - [[unc5221]] - grupo China-nexus com histórico extenso de exploração de vulnerabilidades Ivanti **Campanhas associadas:** - [[ivanti-connect-secure-exploitation-2024]] - campanha de exploração contínua de appliances Ivanti **TTPs relacionadas:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração do gateway VPN - [[t1212-exploitation-for-credential-access|T1212 - Exploitation for Credential Access]] - bypass de autenticação SAML - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - SSRF via entidade XXE externa ## Mitigação **Patch oficial:** - Ivanti Connect Secure: versões com fix (ver tabela de versões afetadas) - Policy Secure 22.5R1.2+ - ZTA 22.6R1.4+ - Advisory: [Ivanti CVE-2024-22024](https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure) **Detecção:** - Monitorar POSTs para endpoints SAML com DOCTYPE ou ENTITY na payload - Verificar logs de acesso por erros `SAML processing failed` (Event ID ERR31903) - Executar Ivanti ICT regularmente ## Notas Relacionadas **CVEs relacionados:** [[cve-2025-22457|CVE-2025-22457]] · [[cve-2025-0282|CVE-2025-0282]] · [[cve-2023-46805|CVE-2023-46805]] **Atores explorando:** [[unc5221]] **Campanhas:** [[ivanti-connect-secure-exploitation-2024]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1212-exploitation-for-credential-access|T1212 - Exploitation for Credential Access]] **Setores em risco:** [[government]] · [[technology]] · [[financial]] ## Referências - [NVD - CVE-2024-22024](https://nvd.nist.gov/vuln/detail/CVE-2024-22024) - [Ivanti Advisory](https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure) - [NCSC Ireland Alert](https://www.ncsc.gov.ie/pdfs/CVE-2024-22024_XXE_Ivanti_Devices.pdf) - [Huntress - CVE-2024-22024 Analysis](https://www.huntress.com/threat-library/vulnerabilities/CVE-2024-22024) - [watchTowr - PoC](https://watchtowrcyber.com/)