Ciberseguridad 360 | Vulnerabilidad crítica de omisión de autenticación en Ivanti vTM ahora explotado en ataques

CISA ha etiquetado otra vulnerabilidad de seguridad cr�tica de Ivanti, que puede permitir a los actores de amenazas crear usuarios administradores falsos en dispositivos Virtual Traffic Manager (vTM) vulnerables, como explotada activamente en ataques.

Este fallo, identificado como CVE-2024-7593, se debe a una implementaci�n incorrecta de un algoritmo de autenticaci�n que permite a atacantes remotos no autenticados eludir la autenticaci�n en paneles de administraci�n vTM expuestos en Internet.

Ivanti vTM es un controlador de entrega de aplicaciones (ADC) basado en software que proporciona equilibrio de carga y gesti�n de tr�fico para alojar servicios cr�ticos de negocio.

"Una explotaci�n exitosa podr�a conducir a la elusi�n de la autenticaci�n y la creaci�n de un usuario administrador", advirti� Ivanti cuando public� las actualizaciones de seguridad para parchear esta vulnerabilidad cr�tica.

Aunque la compa��a dijo que el c�digo de explotaci�n de prueba de concepto (PoC) ya estaba disponible el 13 de agosto cuando public� los parches CVE-2024-7593, todav�a tiene que actualizar el aviso de seguridad para confirmar la explotaci�n activa.

Sin embargo, recomend� comprobar la salida de los registros de auditor�a para los nuevos usuarios de administraci�n "user1" o "user2" a�adidos a trav�s de la interfaz gr�fica de usuario o el c�digo de explotaci�n disponible p�blicamente para encontrar pruebas de compromiso.

Ivanti tambi�n aconsej� a los administradores restringir el acceso a la interfaz de gesti�n vTM vincul�ndola a una red interna o a una direcci�n IP privada para bloquear posibles intentos de ataque y reducir la superficie de ataque.

Limitar el acceso de los administradores a la interfaz de gesti�n (Ivanti)

El martes, CISA a�adi� el fallo de elusi�n de autenticaci�n de Ivanti vTM a su cat�logo de vulnerabilidades explotadas conocidas, etiquet�ndolo como activamente explotado. Tal y como exige la Directiva Operativa Vinculante (BOD), los organismos federales deben proteger los dispositivos vulnerables de sus redes en un plazo de tres semanas a partir del 15 de octubre.

El cat�logo KEV de CISA alerta principalmente a las agencias federales sobre las vulnerabilidades que deben parchear lo antes posible, pero tambi�n se aconseja a las organizaciones privadas de todo el mundo que den prioridad a la mitigaci�n de este fallo de seguridad para bloquear los ataques en curso.

En los �ltimos meses, varios fallos de Ivanti han sido explotados como zero-day en ataques generalizados dirigidos a los dispositivos VPN y las pasarelas ICS, IPS y ZTA de la empresa. La compa��a tambi�n advirti� a principios de este mes que los actores de amenazas tambi�n est�n encadenando dos vulnerabilidades de Cloud Services Appliance (CSA) recientemente parcheadas en ataques en curso.

Ivanti declar� en septiembre que hab�a mejorado sus capacidades internas de escaneado y pruebas en respuesta a estos ataques y que actualmente est� trabajando en la mejora de su proceso de divulgaci�n responsable para abordar los posibles problemas de seguridad con mayor rapidez.

Ivanti cuenta con m�s de 7.000 socios en todo el mundo y sus productos son utilizados por m�s de 40.000 empresas para la gesti�n de sistemas y activos inform�ticos.

Fuente: bleepingcomputer