Vulnerabilitate critică de ocolire a autentificării în Ivanti vTM

A fost identificată o altă vulnerabilitate critică în Ivanti, ce poate permite atacatorilor să creeze utilizatori cu drepturi de administrator în cadrul dispozitivelor Virtual Traffic Manager (vTM) vulnerabile, fiind exploatată în atacuri.

Identificată drept CVE-2024-7593, această eroare de ocolire a autentificării este cauzată de implementarea incorectă a unui algoritm de autentificare ce permite atacatorilor de la distanță neautentificați să ocolească autentificarea pe panourile de administrare vTM expuse pe internet.

Ivanti vTM este un controler de distribuție a aplicațiilor (ADC) bazat pe software, care asigură load balancing-ul și gestionarea traficului pentru găzduirea serviciilor critice.

Deși compania a afirmat că un cod de exploatare proof-of-concept (PoC) era deja disponibil la 13 august, când a lansat actualizările CVE-2024-7593, aceasta nu a actualizat încă avizul de securitate pentru a confirma exploatarea activă.

Cu toate acestea, a recomandat verificarea Audit Logs Output pentru noii utilizatori cu drepturi de administrator user1 sau user2 adăugați prin intermediul GUI sau codul de exploatare disponibil public pentru a găsi dovezi de compromitere.

De asemenea, Ivanti a recomandat administratorilor să restricționeze accesul la interfața de administrare a vTM prin conectarea acesteia la o rețea internă sau la o adresă IP privată pentru a bloca eventualele încercări de atac și a reduce suprafața de atac.

În ultimele luni, mai multe vulnerabilități Ivanti au fost exploatate ca zero-day-uri în atacuri pe scară largă ce au vizat dispozitivele VPN și gateway-urile ICS, IPS și ZTA ale companiei.

De asemenea, compania a avertizat la începutul acestei luni că atacatorii exploatează două vulnerabilități ale Cloud Services Appliance (CSA), recent remediate, în atacurile în curs.

Sursă: https://www.bleepingcomputer.com/news/security/critical-ivanti-vtm-auth-bypass-bug-now-exploited-in-attacks/