الثغرات ›

CVE-2021-44529

حرج 🇺🇸 CISA KEV ⚡ اختراق متاح

Ivanti Endpoint Manager Cloud Service Appliance (EPM CSA) Code Injection Vulnerability — Ivanti Endpoint Manager Cloud Service Appliance (EPM CSA) contains a code injection vulnerability that allows

                    نُشر: Mar 25, 2024                                          ·  المصدر: CISA_KEV                

CVSS v3

9.0

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

🤖 ملخص AI

CVE-2021-44529 is a critical unauthenticated code injection vulnerability in Ivanti Endpoint Manager Cloud Service Appliance (EPM CSA) with CVSS 9.0 severity. An attacker can execute arbitrary code without authentication, potentially compromising endpoint management infrastructure across organizations. With public exploits available, this vulnerability poses immediate risk to Saudi organizations relying on Ivanti EPM for device management and compliance.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 21, 2026 11:19

🇸🇦 التأثير على المملكة العربية السعودية

High impact on Saudi government agencies (NCA, NCSC), banking sector (SAMA-regulated institutions), healthcare organizations (MOH), and large enterprises using Ivanti EPM for endpoint management. Compromised EPM CSA could lead to lateral movement across managed endpoints, data exfiltration, malware deployment, and disruption of critical infrastructure. Energy sector (ARAMCO, utilities) and telecommunications (STC, Mobily) face significant risk if EPM CSA is internet-facing or accessible from untrusted networks.

🏢 القطاعات السعودية المتأثرة

Government (NCA, NCSC, ministries) Banking & Financial Services (SAMA-regulated) Healthcare (MOH, private hospitals) Energy & Utilities (ARAMCO, power companies) Telecommunications (STC, Mobily, Zain) Large Enterprises (IT infrastructure management) Education (universities, research institutions)

🎯 تقنيات MITRE ATT&CK

T1190 - Exploit Public-Facing Application T1059 - Command and Scripting Interpreter T1053 - Scheduled Task/Job T1543 - Create or Modify System Process T1078 - Valid Accounts (post-exploitation) T1021 - Remote Service Session Initiation (lateral movement)

⚖️ درجة المخاطر السعودية (AI)

9.2

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all Ivanti EPM CSA instances in your environment and document their network exposure

2. Restrict network access to EPM CSA to authorized administrators only (implement firewall rules, VPN requirement)

3. Disable internet-facing access immediately if EPM CSA is exposed

4. Monitor EPM CSA logs for suspicious activity, code injection attempts, and unauthorized access



PATCHING:

5. Apply Ivanti security patches immediately (check Ivanti advisory for specific version updates)

6. Verify patch installation and restart EPM CSA services

7. Test patched systems in non-production environment first



DETECTION & MONITORING:

8. Deploy IDS/IPS signatures for CVE-2021-44529 exploitation attempts

9. Monitor for suspicious process execution from EPM CSA (nobody user context)

10. Enable detailed logging on EPM CSA and forward logs to SIEM

11. Search logs for patterns: code injection payloads, unusual HTTP requests to EPM CSA endpoints



COMPENSATING CONTROLS (if patch unavailable):

12. Implement network segmentation isolating EPM CSA from untrusted networks

13. Deploy WAF rules blocking known exploitation patterns

14. Require multi-factor authentication for EPM CSA administrative access

15. Conduct vulnerability scan post-remediation

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. حدد جميع مثيلات Ivanti EPM CSA في بيئتك وتوثيق تعرضها للشبكة

2. قيد الوصول إلى EPM CSA للمسؤولين المصرح لهم فقط (تطبيق قواعد جدار الحماية، متطلبات VPN)

3. عطل الوصول المكشوف على الإنترنت فوراً إذا كان EPM CSA مكشوفاً

4. راقب سجلات EPM CSA للنشاط المريب ومحاولات حقن الأكواد والوصول غير المصرح

التصحيح:

5. طبق تصحيحات أمان Ivanti فوراً (تحقق من استشارة Ivanti لتحديثات الإصدار المحددة)

6. تحقق من تثبيت التصحيح وأعد تشغيل خدمات EPM CSA

7. اختبر الأنظمة المصححة في بيئة غير الإنتاج أولاً

الكشف والمراقبة:

8. نشر توقيعات IDS/IPS لمحاولات استغلال CVE-2021-44529

9. راقب تنفيذ العمليات المريبة من EPM CSA (سياق مستخدم nobody)

10. فعّل التسجيل التفصيلي على EPM CSA وأرسل السجلات إلى SIEM

11. ابحث في السجلات عن الأنماط: حمولات حقن الأكواد، طلبات HTTP غير العادية لنقاط نهاية EPM CSA

الضوابط البديلة (إذا لم يكن التصحيح متاحاً):

12. طبق تقسيم الشبكة لعزل EPM CSA عن الشبكات غير الموثوقة

13. نشر قواعد WAF لحجب أنماط الاستغلال المعروفة

14. اطلب المصادقة متعددة العوامل للوصول الإداري إلى EPM CSA

15. أجرِ فحص الثغرات بعد المعالجة

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.12.6.1 - Management of technical vulnerabilities ECC 2024 A.14.2.1 - Secure development policy ECC 2024 A.12.3.1 - Configuration management ECC 2024 A.12.2.1 - Change management

🔵 SAMA CSF

ID.RA-1 - Asset management and vulnerability identification PR.IP-12 - Security patch management DE.CM-8 - Vulnerability scans RS.MI-2 - Incident response and containment

🟡 ISO 27001:2022

A.12.3.1 - Configuration management A.12.6.1 - Management of technical vulnerabilities A.14.2.1 - Secure development policy A.12.2.1 - Change management procedures

🟣 PCI DSS v4.0

Requirement 6.2 - Security patches for system components Requirement 11.2 - Vulnerability scanning Requirement 6.1 - Secure development processes

🔗 المراجع والمصادر 0

لا توجد مراجع.

📦 المنتجات المتأثرة 1 منتج

Ivanti:Endpoint Manager Cloud Service Appliance (EPM CSA)

📊 CVSS Score

9.0

/ 10.0 — حرج

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.0

EPSS94.46%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

CISA KEV🇺🇸 Yes

تاريخ الإصلاح2024-04-15

تاريخ النشر 2024-03-25

المصدر cisa_kev

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

9.2

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

kev actively-exploited ransomware

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2021-44529

عرّفنا بنفسك

تسجيل الدخول مطلوب