Ivanti a déployé des mises à jour de sécurité pour une faille critique dans Virtual Traffic Manager (vTM) qui pourrait être exploitée pour contourner l’authentification et créer des utilisateurs administratifs malveillants.
La vulnérabilité, identifiée comme CVE-2024-7593, a un score CVSS de 9,8 sur un maximum de 10,0.
« Une implémentation incorrecte d’un algorithme d’authentification dans Ivanti vTM autre que les versions 22.2R1 ou 22.7R2 permet à un attaquant distant non authentifié de contourner l’authentification du panneau d’administration », a déclaré la société dit dans un avis consultatif.
Cela affecte les versions suivantes de vTM –
- 22.2 (corrigé dans la version 22.2R1)
- 22.3 (corrigé dans la version 22.3R3, disponible la semaine du 19 août 2024)
- 22.3R2 (corrigé dans la version 22.3R3, disponible la semaine du 19 août 2024)
- 22.5R1 (corrigé dans la version 22.5R2, disponible la semaine du 19 août 2024)
- 22.6R1 (corrigé dans la version 22.6R2, disponible la semaine du 19 août 2024)
- 22.7R1 (corrigé dans la version 22.7R2)
À titre d’atténuation temporaire, Ivanti recommande aux clients de limiter l’accès administrateur à l’interface de gestion ou de restreindre l’accès aux adresses IP approuvées.
Bien qu’il n’y ait aucune preuve que la faille ait été exploitée dans la nature, elle a reconnu la disponibilité publique d’une preuve de concept (PoC), ce qui rend essentiel que les utilisateurs appliquent les derniers correctifs dès que possible.
Par ailleurs, Ivanti a également abordé deux défauts dans les neurones pour ITSM qui pourraient entraîner la divulgation d’informations et un accès non autorisé aux appareils comme tout utilisateur –
- CVE-2024-7569 (score CVSS : 9,6) – Une vulnérabilité de divulgation d’informations dans Ivanti ITSM on-prem et Neurons pour les versions ITSM 2023.4 et antérieures permet à un attaquant non authentifié d’obtenir le secret client OIDC via des informations de débogage
- CVE-2024-7570 (score CVSS : 8,3) – Une validation de certificat incorrecte dans Ivanti ITSM on-prem et Neurons pour ITSM versions 2023.4 et antérieures permet à un attaquant distant en position MITM de créer un jeton qui permettrait d’accéder à ITSM en tant qu’utilisateur
Les problèmes, qui affectent les versions 2023.4, 2023.3 et 2023.2, ont été résolus dans les versions 2023.4 avec patch, 2023.3 avec patch et 2023.2 avec patch, respectivement.
La société a également corrigé les correctifs suivants cinq défauts de haute gravité (CVE-2024-38652, CVE-2024-38653, CVE-2024-36136, CVE-2024-37399 et CVE-2024-37373) dans Ivanti Avalanche qui pourraient être exploitées pour provoquer un déni de service (DoS) ou une exécution de code à distance. Elles ont été corrigées dans la version 6.4.4.