CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2024-7593

Ivanti vTM – pominięcie uwierzytelnienia panelu admina (Auth Bypass)

CVSS 9.8v3.1pub. 2024-08-13upd. 2026-06-05

Ivanti Virtual Traffic Manager (vTM) zawiera błędną implementację algorytmu uwierzytelnienia, która pozwala zdalnemu, nieuwierzytelnionemu atakującemu na ominięcie mechanizmu logowania do panelu administracyjnego. Podatność jest aktywnie wykorzystywana w środowiskach produkcyjnych i została wpisana do katalogu CISA KEV.

Pokaż oryginał (EN)

Incorrect implementation of an authentication algorithm in Ivanti vTM other than versions 22.2R1 or 22.7R2 allows a remote unauthenticated attacker to bypass authentication of the admin panel.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej implementacji algorytmu uwierzytelnienia (CWE-303 – niepoprawna implementacja weryfikacji tożsamości). Atakujący może wysłać odpowiednio spreparowane żądanie sieciowe, które zostanie przez system potraktowane jako poprawnie uwierzytelnione, mimo braku ważnych poświadczeń. Podatność jest dostępna zdalnie przez sieć bez wymagania jakiejkolwiek interakcji użytkownika ani wcześniejszych uprawnień (wektor AV:N/AC:L/PR:N/UI:N).

Skutki

Atakujący uzyskuje pełny, nieautoryzowany dostęp do panelu administracyjnego Ivanti vTM, co może skutkować przejęciem kontroli nad urządzeniem, modyfikacją konfiguracji ruchu sieciowego oraz naruszeniem poufności, integralności i dostępności systemu.

Mitygacja

Należy niezwłocznie zaktualizować Ivanti vTM do wersji 22.2R1 lub 22.7R2, które zawierają poprawkę producenta. Szczegóły dostępne w oficjalnym biuletynie bezpieczeństwa Ivanti: https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Virtual-Traffic-Manager-vTM-CVE-2024-7593

Kogo dotyczy

Ivanti Virtual Traffic Manager (vTM) we wszystkich wersjach innych niż 22.2R1 oraz 22.7R2.

Uwagi

Podatność figuruje w katalogu CISA Known Exploited Vulnerabilities (KEV), co potwierdza aktywne wykorzystywanie jej w atakach na środowiska produkcyjne. Data publikacji advisory: 2024-08-13.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Ivanti Virtual Traffic Manager

    APP
    Ivanti
    22.222.322.522.622.7

CISA KEV — szczegółyi

Dostawcai
Ivanti
Produkti
Virtual Traffic Manager
Data dodania do KEVi
24 września 2024
Termin remediation (USA)i
15 października 2024(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta lub wstrzymaj użytkowanie produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Ivanti Virtual Traffic Manager zawiera lukę umożliwiającą omijanie uwierzytelniania, która pozwala zdalnemu nieuwierzytelnionemu atakującemu na utworzenie wybranego konta administratora.

tłumaczenie AI
Pokaż oryginał (EN)

Ivanti Virtual Traffic Manager contains an authentication bypass vulnerability that allows a remote, unauthenticated attacker to create a chosen administrator account.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 15 października 2024
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-8051HIGH7.2ten sam produkt

OS command injection in Ivanti Virtual Traffic Manager before version 22.9r4 allows a remote authenticated att...

CVE-2026-10520CRITICAL10.0⚠ KEVPL ✓ten sam vendor

RCE poprzez OS Command Injection w Ivanti Sentry (nieuwierzytelniony dostęp root)

CVE-2026-1281CRITICAL9.8⚠ KEVPL ✓ten sam vendor

Krytyczny code injection w Ivanti Endpoint Manager Mobile (RCE bez uwierzytelnienia)

CVE-2026-1340CRITICAL9.8⚠ KEVPL ✓ten sam vendor

Code injection w Ivanti EPMM umożliwiający nieuwierzytelniony RCE

CVE-2025-22457CRITICAL9.0⚠ KEVPL ✓ten sam vendor

Stack-based buffer overflow w Ivanti Connect Secure, Policy Secure i ZTA Gateways umożliwiający RCE