A Ivanti lançou atualizações de segurança para corrigir uma falha crítica no Virtual Traffic Manager (vTM) que poderia ser explorada para realizar a autenticação de forma indevida (bypass) e criar usuários administrativos falsos.
A vulnerabilidade, identificada como
CVE-2024-7593
, recebeu uma pontuação CVSS de 9.8, numa escala máxima de 10.0.
"Uma implementação incorreta de um algoritmo de autenticação na Ivanti vTM, excetuando-se as versões 22.2R1 ou 22.7R2, permite a um atacante remoto não autenticado contornar a autenticação do painel administrativo", informou a empresa em um comunicado.
Ela afeta as seguintes versões do vTM :
22.2 (corrigido na versão 22.2R1)
22.3 (corrigido na versão 22.3R3, disponível na semana de 19 de agosto de 2024)
22.3R2 (corrigido na versão 22.3R3, disponível na semana de 19 de agosto de 2024)
22.5R1 (corrigido na versão 22.5R2, disponível na semana de 19 de agosto de 2024)
22.6R1 (corrigido na versão 22.6R2, disponível na semana de 19 de agosto de 2024)
22.7R1 (corrigido na versão 22.7R2)
Como mitigação temporária, a Ivanti está recomendando que os clientes limitem o acesso administrativo à interface de gerenciamento ou restrinjam o acesso a endereços IP confiáveis.
Embora não existam evidências de que a falha tenha sido explorada ativamente, reconhece-se a disponibilidade pública de um conceito de prova (PoC), tornando essencial que os usuários apliquem as correções mais recentes o quanto antes.
Separadamente, a Ivanti também corrigiu duas falhas no Neurons for ITSM que poderiam resultar na divulgação de informações e permitir acesso não autorizado aos dispositivos como qualquer usuário -
CVE-2024-7569
(pontuação CVSS: 9.6) - Uma vulnerabilidade de divulgação de informações no Ivanti ITSM on-prem e Neurons for ITSM versões 2023.4 e anteriores permite que um atacante não autenticado obtenha o segredo do cliente OIDC através de informações de debug
CVE-2024-7570
(pontuação CVSS: 8.3) - Validação inadequada de certificado no Ivanti ITSM on-prem e Neurons for ITSM Versões 2023.4 e anteriores permite que um atacante remoto em posição de Man-in-The-Middle (MITM) crie um token que permitiria o acesso ao ITSM como qualquer usuário
As questões, que afetam as versões 2023.4, 2023.3 e 2023.2, foram resolvidas nas versões 2023.4 com patch, 2023.3 com patch e 2023.2 com patch, respectivamente.
Também foram corrigidas pela empresa cinco falhas de alta gravidade (
CVE-2024-38652
,
CVE-2024-38653
,
CVE-2024-36136
,
CVE-2024-37399
e
CVE-2024-37373
) na Ivanti Avalanche que poderiam ser exploradas para causar uma condição de negação de serviço (DoS) ou execução remota de código.
Elas foram corrigidas na versão 6.4.4.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...