CISA a etichetat o altă vulnerabilitate critică de securitate Ivanti, care poate permite atacatorilor să creeze utilizatori admin fali pe aparatele vulnerabile Virtual Traffic Manager (vTM), ca fiind activ exploatată în atacuri.
Urmărită ca CVE-2024-7593, această defecțiune de autentificare este cauzată de o implementare incorectă a unui algoritm de autentificare care permite atacatorilor neautentificați de la distanță să ocolească autentificarea pe panourile de administrație vTM expuse la Internet.
Ivanti vTM este un controler de livrare a aplicațiilor bazat pe software (ADC) care oferă echilibrare a sarcinii și managementul traficului pentru servicii critice pentru afaceri.
„Exploatarea cu succes ar putea duce la ocolirea autentificării și crearea unui utilizator administrator,” a avertizat Ivanti când a lansat actualizări de securitate pentru a remedia această vulnerabilitate critică.
În timp ce compania a declarat că codul de exploatare a conceptului (PoC) era deja disponibil pe 13 august când a lansat patch-urile CVE-2024-7593, încă nu a actualizat avertismentul de securitate pentru a confirma exploatarea activă.
Cu toate acestea, a recomandat verificarea Output-ului jurnalelor de audit pentru noii utilizatori admin ‘user1’ sau ‘user2’ adăugați prin interfața GUI sau codul de exploatare disponibil public pentru a găsi dovezi de compromis.
Ivanti a sfătuit, de asemenea, administratorii să restricționeze accesul la interfața de management vTM prin legarea acesteia la o rețea internă sau la o adresă IP privată pentru a bloca încercările potențiale de atac și pentru a reduce suprafața de atac.
Marți, CISA a adăugat defecțiunea de ocolire a autentificării Ivanti vTM la catalogul său de Vulnerabilități Exploatate Cunoscute, etichetând-o drept activ exploatată. După cum cere Directivei Operaționale de Legare (BOD) 22-01), agențiile federale trebuie acum să securizeze aparatele vulnerabile de pe rețelele lor în termen de trei săptămâni până pe 15 octombrie.
Catalogul KEV al CISA avertizează în primul rând agențiile federale cu privire la vulnerabilitățile pe care ar trebui să le remedieze cât mai curând posibil, dar organizațiile private din întreaga lume sunt, de asemenea, sfătuite să prioritizeze mitigarea acestei defecțiuni de securitate pentru a bloca atacurile în desfășurare.
În ultimele luni, mai multe defecțiuni Ivanti au fost exploatate ca zero-day-uri în atacuri extinse care vizează aparatele VPN ale companiei și gateway-urile ICS, IPS și ZTA. Compania a avertizat și la începutul acestei luni că actorii de amenințare leagă de asemenea două vulnerabilități recent remediate ale Aplicației de Servicii în Cloud (CSA) în atacuri în desfășurare.
Ivanti a declarat în septembrie că și-a îmbunătățit capacitățile interne de scanare și testare în răspuns la aceste atacuri și lucrează în prezent la îmbunătățirea procesului său de divulgare responsabilă pentru a aborda potențialele probleme de securitate și mai rapid.
Ivanti are peste 7.000 de parteneri la nivel mondial, iar produsele sale sunt utilizate de peste 40.000 de companii pentru gestionarea sistemelor și a activelor IT.
Ivanti avertizează cu privire la o vulnerabilitate critică de autentificare vTM cu cod de exploatare public
Cod de exploatare lansat pentru defecțiunea critică Ivanti RCE, remediați acum
Hackerii vizează WhatsUp Gold cu cod de exploatare public începând din august
Defecțiunea critică Progress WhatsUp RCE acum sub exploatare activă
CISA avertizează cu privire la o defecțiune activ exploatată a serverului Apache HugeGraph
Leave a Reply