Ivanti ha implementado actualizaciones de seguridad para una falla crítica en Virtual Traffic Manager (vTM) que podría explotarse para lograr una evasión de autenticación y crear usuarios administrativos no autorizados.
La vulnerabilidad, identificada como CVE-2024-7593, tiene una puntuación CVSS de 9,8 sobre un máximo de 10,0.
«La implementación incorrecta de un algoritmo de autenticación en Ivanti vTM que no sea la versión 22.2R1 o 22.7R2 permite que un atacante remoto no autenticado evite la autenticación del panel de administración», dijo la empresa. dicho en un aviso.
Afecta a las siguientes versiones de vTM:
- 22.2 (corregido en la versión 22.2R1)
- 22.3 (corregida en la versión 22.3R3, disponible la semana del 19 de agosto de 2024)
- 22.3R2 (corregida en la versión 22.3R3, disponible la semana del 19 de agosto de 2024)
- 22.5R1 (corregida en la versión 22.5R2, disponible a partir de la semana del 19 de agosto de 2024)
- 22.6R1 (corregida en la versión 22.6R2, disponible a partir de la semana del 19 de agosto de 2024)
- 22.7R1 (corregido en la versión 22.7R2)
Como mitigación temporal, Ivanti recomienda a los clientes limitar el acceso de administrador a la interfaz de administración o restringir el acceso a direcciones IP confiables.
Si bien no hay evidencia de que la falla haya sido explotada, se reconoció la disponibilidad pública de una prueba de concepto (PoC), por lo que es esencial que los usuarios apliquen las últimas correcciones lo antes posible.
Por otra parte, Ivanti también se ha dirigido a Dos deficiencias en Neurons para ITSM que podría resultar en la divulgación de información y el acceso no autorizado a los dispositivos por parte de cualquier usuario.
- CVE-2024-7569 (puntuación CVSS: 9,6): una vulnerabilidad de divulgación de información en Ivanti ITSM local y Neurons para ITSM versiones 2023.4 y anteriores permite que un atacante no autenticado obtenga el secreto del cliente OIDC a través de información de depuración.
- CVE-2024-7570 (puntuación CVSS: 8,3): la validación incorrecta de certificados en Ivanti ITSM local y Neurons para ITSM versiones 2023.4 y anteriores permite que un atacante remoto en una posición MITM cree un token que permitiría el acceso a ITSM como cualquier usuario.
Los problemas, que afectan a las versiones 2023.4, 2023.3 y 2023.2, se han resuelto en las versiones 2023.4 con parche, 2023.3 con parche y 2023.2 con parche, respectivamente.
La empresa también ha parcheado Cinco fallas de alta gravedad (CVE-2024-38652, CVE-2024-38653, CVE-2024-36136, CVE-2024-37399 y CVE-2024-37373) en Ivanti Avalanche que podrían explotarse para lograr una condición de denegación de servicio (DoS) o ejecución remota de código. Se han corregido en la versión 6.4.4.