Ivanti, kimlik doğrulamayı atlatmak ve kötü niyetli yönetici kullanıcıları oluşturmak için istismar edilebilecek Virtual Traffic Manager’daki (vTM) kritik bir açık için güvenlik güncellemeleri yayınladı.
CVE-2024-7593 olarak izlenen güvenlik açığının CVSS puanı ise 10.0 üzerinden 9.8.
Şirket, “Ivanti vTM’de 22.2R1 veya 22.7R2 sürümleri dışındaki bir kimlik doğrulama algoritmasının yanlış uygulanması, uzaktan kimliği doğrulanmamış bir saldırganın yönetici panelinin kimlik doğrulamasını atlatmasına olanak tanır” dedi. söz konusu bir danışmada.
Aşağıdaki vTM sürümlerini etkiler:
- 22.2 (22.2R1 sürümünde düzeltildi)
- 22.3 (19 Ağustos 2024 haftasında kullanıma sunulacak olan 22.3R3 sürümünde düzeltildi)
- 22.3R2 (19 Ağustos 2024 haftasında kullanıma sunulacak olan 22.3R3 sürümünde düzeltildi)
- 22.5R1 (19 Ağustos 2024 haftasında kullanıma sunulacak olan 22.5R2 sürümünde düzeltildi)
- 22.6R1 (19 Ağustos 2024 haftasında kullanıma sunulacak olan 22.6R2 sürümünde düzeltildi)
- 22.7R1 (22.7R2 sürümünde düzeltildi)
Geçici bir önlem olarak Ivanti, müşterilerine yönetim arayüzüne yönetici erişimini sınırlamalarını veya erişimi güvenilir IP adreslerine sınırlamalarını öneriyor.
Bu açığın yaygın bir şekilde kullanıldığına dair bir kanıt olmasa da, kamuoyuna açık bir kavram kanıtı (PoC) bulunduğu ve kullanıcıların en son düzeltmeleri mümkün olan en kısa sürede uygulamalarının önemli olduğu belirtildi.
Ayrı olarak Ivanti ayrıca şu ifadelere de değindi: iki eksiklik ITSM için Nöronlarda herhangi bir kullanıcının cihaza yetkisiz erişim elde etmesine ve bilgi ifşasına yol açabilecek bir durum söz konusudur –
- CVE-2024-7569 (CVSS puanı: 9,6) – Ivanti ITSM yerinde ve ITSM için Neurons 2023.4 ve önceki sürümlerinde bulunan bir bilgi ifşa güvenlik açığı, kimliği doğrulanmamış bir saldırganın hata ayıklama bilgileri aracılığıyla OIDC istemci sırrını elde etmesine olanak tanır
- CVE-2024-7570 (CVSS puanı: 8,3) – Ivanti ITSM yerinde ve ITSM için Neurons Sürüm 2023.4 ve öncesinde uygunsuz sertifika doğrulaması, MITM konumundaki uzak bir saldırganın herhangi bir kullanıcı olarak ITSM’ye erişime izin verecek bir belirteç oluşturmasına olanak tanır
2023.4, 2023.3 ve 2023.2 sürümlerini etkileyen sorunlar sırasıyla 2023.4 w/ patch, 2023.3 w/ patch ve 2023.2 w/ patch sürümlerinde çözüldü.
Şirket tarafından yamalananlar arasında şunlar da var: beş yüksek şiddette kusur Ivanti Avalanche’da hizmet reddi (DoS) durumu veya uzaktan kod yürütme elde etmek için istismar edilebilecek (CVE-2024-38652, CVE-2024-38653, CVE-2024-36136, CVE-2024-37399 ve CVE-2024-37373) hatalar. Bunlar 6.4.4 sürümünde düzeltildi.