Ciberseguridad 360 | Ivanti alerta sobre vulnerabilidad crítica en vTM y exploit público

Ivanti ha instado hoy a sus clientes a parchear una vulnerabilidad cr�tica de elusi�n de autenticaci�n que afecta a los dispositivos Virtual Traffic Manager (vTM) y que puede permitir a los atacantes crear cuentas de administrador falsas.

Ivanti vTM es un controlador de entrega de aplicaciones (ADC) basado en software que proporciona gesti�n de tr�fico centrada en aplicaciones y equilibrio de carga para alojar servicios cr�ticos de negocio.

Rastreada como CVE-2024-7593, esta vulnerabilidad de omisi�n de autenticaci�n se debe a una implementaci�n incorrecta de un algoritmo de autenticaci�n que permite a atacantes remotos no autenticados omitir la autenticaci�n en paneles de administraci�n vTM expuestos a Internet.

"Ivanti ha publicado actualizaciones para Ivanti Virtual Traffic Manager (vTM) que solucionan una vulnerabilidad cr�tica. Una explotaci�n exitosa podr�a conducir a la evasi�n de la autenticaci�n y la creaci�n de un usuario administrador", advirti� la compa��a el martes.

"No tenemos conocimiento de ning�n cliente que haya sido explotado por esta vulnerabilidad en el momento de la divulgaci�n. Sin embargo, una prueba de concepto est� disponible p�blicamente, e instamos a los clientes a actualizar a la �ltima versi�n parcheada. "

Ivanti aconseja a los administradores que restrinjan el acceso a la interfaz de gesti�n vTM vincul�ndola a una red interna o a una direcci�n IP privada para reducir la superficie de ataque y bloquear posibles intentos de explotaci�n.

Para limitar el acceso del administrador a la interfaz de gesti�n a trav�s de la red privada/corporativa, los administradores tienen que:

Ir a Sistema > Seguridad y, a continuaci�n, hacer clic en el men� desplegable de la secci�n Direcci�n IP de gesti�n y Puerto del servidor de administraci�n de la p�gina.
En el men� desplegable "bindip", seleccione la direcci�n IP de la interfaz de gesti�n o utilice el ajuste situado directamente encima del ajuste "bindip" para restringir el acceso a direcciones IP de confianza, limitando a�n m�s qui�n puede acceder a la interfaz.

Limitar el acceso de los administradores a la interfaz de gesti�n (Ivanti)

El fallo de seguridad se ha corregido en Ivanti vTM 22.2R1 y 22.7R2, y en las pr�ximas semanas se publicar�n parches para el resto de versiones compatibles.

Ivanti dice que no tiene evidencia de que la desviaci�n de autenticaci�n CVE-2024-7593 haya sido explotada en ataques, pero aconseja a los administradores que comprueben la salida de los registros de auditor�a para los nuevos usuarios de administraci�n "user1" o "user2" a�adidos a trav�s de la interfaz gr�fica de usuario o utilizando el c�digo de explotaci�n disponible p�blicamente.

Hoy, Ivanti tambi�n ha advertido a los administradores que parcheen inmediatamente una vulnerabilidad de divulgaci�n de informaci�n (CVE-2024-7569) en Ivanti ITSM on-prem y Neurons para ITSM versiones 2023.4 y anteriores. Esta vulnerabilidad puede permitir a atacantes no autenticados obtener el secreto del cliente OIDC a trav�s de la informaci�n de depuraci�n.

En febrero, la empresa parche� otro fallo de omisi�n de autenticaci�n (CVE-2024-22024) que afectaba a las pasarelas Ivanti Connect Secure, Policy Secure y ZTA, e inst� a los administradores a proteger inmediatamente los dispositivos vulnerables.

Los dispositivos VPN de Ivanti llevan siendo atacados desde diciembre de 2023 mediante exploits que encadenan los fallos de omisi�n de autenticaci�n CVE-2023-46805 y de inyecci�n de comandos CVE-2024-21887 como zero days.

La compa��a tambi�n advirti� de un tercer d�a cero (un fallo de falsificaci�n de petici�n del lado del servidor rastreado como CVE-2024-21893) bajo explotaci�n masiva en febrero, permitiendo a los actores de amenazas saltarse la autenticaci�n en ICS, IPS y pasarelas ZTA sin parchear.

Fuente: bleepingcomputer