Kritieke fout in Ivanti Virtual Traffic Manager kan toegang voor malafide beheerders toestaan

Cyberbeveiliging
Ivanti Virtual Traffic Manager

Ivanti heeft beveiligingsupdates uitgerold voor een kritieke fout in Virtual Traffic Manager (vTM) die misbruikt kon worden om authenticatie te omzeilen en malafide beheerdersgebruikers te creëren.

De kwetsbaarheid, geregistreerd als CVE-2024-7593, heeft een CVSS-score van 9,8 uit een maximum van 10,0.

“Een onjuiste implementatie van een authenticatiealgoritme in Ivanti vTM anders dan versie 22.2R1 of 22.7R2 zorgt ervoor dat een externe, niet-geverifieerde aanvaller de authenticatie van het admin-paneel kan omzeilen”, aldus het bedrijf in een waarschuwing.

Het heeft invloed op de volgende versies van vTM:

  • 22.2 (opgelost in versie 22.2R1)
  • 22.3 (opgelost in versie 22.3R3, beschikbaar in de week van 19 augustus 2024)
  • 22.3R2 (opgelost in versie 22.3R3, beschikbaar in de week van 19 augustus 2024)
  • 22.5R1 (opgelost in versie 22.5R2, beschikbaar in de week van 19 augustus 2024)
  • 22.6R1 (opgelost in versie 22.6R2, beschikbaar in de week van 19 augustus 2024)
  • 22.7R1 (opgelost in versie 22.7R2)

Als tijdelijke oplossing raadt Ivanti klanten aan om de beheerderstoegang tot de beheerinterface te beperken of de toegang te beperken tot vertrouwde IP-adressen.

Hoewel er geen bewijs is dat het lek in het wild is uitgebuit, wordt erkend dat er een proof-of-concept (PoC) voor het publiek beschikbaar is. Het is daarom essentieel dat gebruikers de nieuwste oplossingen zo snel mogelijk toepassen.

Daarnaast heeft Ivanti ook twee tekortkomingen in Neurons for ITSM aangepakt die tot openbaarmaking van informatie en ongeautoriseerde toegang tot de apparaten kunnen leiden, aangezien elke gebruiker –

  • CVE-2024-7569 (CVSS-score: 9,6) – Een kwetsbaarheid voor het vrijgeven van informatie in Ivanti ITSM on-prem en Neurons voor ITSM-versies 2023.4 en eerder stelt een niet-geverifieerde aanvaller in staat om het OIDC-clientgeheim te verkrijgen via debug-informatie
  • CVE-2024-7570 (CVSS-score: 8,3) – Onjuiste certificaatvalidatie in Ivanti ITSM on-prem en Neurons voor ITSM-versies 2023.4 en eerder stelt een externe aanvaller in een MITM-positie in staat een token te maken waarmee elke gebruiker toegang krijgt tot ITSM

De problemen die betrekking hadden op versies 2023.4, 2023.3 en 2023.2 zijn opgelost in respectievelijk versie 2023.4 met patch, 2023.3 met patch en 2023.2 met patch.

Het bedrijf heeft ook vijf zeer ernstige fouten (CVE-2024-38652, CVE-2024-38653, CVE-2024-36136, CVE-2024-37399 en CVE-2024-37373) in Ivanti Avalanche gepatcht die konden worden uitgebuit om een ​​denial-of-service (DoS)-conditie of remote code execution te bereiken. Ze zijn opgelost in versie 6.4.4.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google Meet krijgt vernieuwde gebruikersinterface, gespreksdoorschakeling en meer nieuwe functies

Apple zou naar verluidt zijn iPad-achtige tafelapparaat in 2026 lanceren

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]