Ivanti Virtual Traffic Manager (vTM) zawiera błędną implementację algorytmu uwierzytelnienia, która pozwala zdalnemu, nieuwierzytelnionemu atakującemu na ominięcie mechanizmu logowania do panelu administracyjnego. Podatność jest aktywnie wykorzystywana w środowiskach produkcyjnych i została wpisana do katalogu CISA KEV.
▸ Pokaż oryginał (EN)
Incorrect implementation of an authentication algorithm in Ivanti vTM other than versions 22.2R1 or 22.7R2 allows a remote unauthenticated attacker to bypass authentication of the admin panel.
Błąd polega na nieprawidłowej implementacji algorytmu uwierzytelnienia (CWE-303 – niepoprawna implementacja weryfikacji tożsamości). Atakujący może wysłać odpowiednio spreparowane żądanie sieciowe, które zostanie przez system potraktowane jako poprawnie uwierzytelnione, mimo braku ważnych poświadczeń. Podatność jest dostępna zdalnie przez sieć bez wymagania jakiejkolwiek interakcji użytkownika ani wcześniejszych uprawnień (wektor AV:N/AC:L/PR:N/UI:N).
Atakujący uzyskuje pełny, nieautoryzowany dostęp do panelu administracyjnego Ivanti vTM, co może skutkować przejęciem kontroli nad urządzeniem, modyfikacją konfiguracji ruchu sieciowego oraz naruszeniem poufności, integralności i dostępności systemu.
Należy niezwłocznie zaktualizować Ivanti vTM do wersji 22.2R1 lub 22.7R2, które zawierają poprawkę producenta. Szczegóły dostępne w oficjalnym biuletynie bezpieczeństwa Ivanti: https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Virtual-Traffic-Manager-vTM-CVE-2024-7593
Ivanti Virtual Traffic Manager (vTM) we wszystkich wersjach innych niż 22.2R1 oraz 22.7R2.
Podatność figuruje w katalogu CISA Known Exploited Vulnerabilities (KEV), co potwierdza aktywne wykorzystywanie jej w atakach na środowiska produkcyjne. Data publikacji advisory: 2024-08-13.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HIvanti Virtual Traffic Manager
APPIvanti22.222.322.522.622.7
CISA KEV — szczegółyi
- Dostawcai
- Ivanti ↗
- Produkti
- Virtual Traffic Manager
- Data dodania do KEVi
- 24 września 2024
- Termin remediation (USA)i
- 15 października 2024(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta lub wstrzymaj użytkowanie produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
Ivanti Virtual Traffic Manager zawiera lukę umożliwiającą omijanie uwierzytelniania, która pozwala zdalnemu nieuwierzytelnionemu atakującemu na utworzenie wybranego konta administratora.
▸ Pokaż oryginał (EN)
Ivanti Virtual Traffic Manager contains an authentication bypass vulnerability that allows a remote, unauthenticated attacker to create a chosen administrator account.
Powiązane podatności
OS command injection in Ivanti Virtual Traffic Manager before version 22.9r4 allows a remote authenticated att...
RCE poprzez OS Command Injection w Ivanti Sentry (nieuwierzytelniony dostęp root)
Krytyczny code injection w Ivanti Endpoint Manager Mobile (RCE bez uwierzytelnienia)
Code injection w Ivanti EPMM umożliwiający nieuwierzytelniony RCE
Stack-based buffer overflow w Ivanti Connect Secure, Policy Secure i ZTA Gateways umożliwiający RCE