A CISA identificou uma nova vulnerabilidade crítica de segurança da Ivanti, que permite a atores de ameaças criarem usuários administrativos falsos em aparelhos vulneráveis do Virtual Traffic Manager (vTM), sendo atualmente explorada ativamente em ataques.
Identificada como
CVE-2024-7593
, essa falha de bypass de autenticação é causada por uma implementação incorreta de um algoritmo de autenticação, que permite a atacantes remotos não autenticados contornarem a autenticação em painéis de administração do vTM expostos à Internet.
O vTM da Ivanti é um controlador de entrega de aplicativos (ADC) baseado em software que fornece balanceamento de carga e gerenciamento de tráfego para hospedagem de serviços críticos para o negócio.
"Uma exploração bem-sucedida poderia levar ao bypass de autenticação e criação de um usuário administrador", alertou a Ivanti quando lançou atualizações de segurança para corrigir essa vulnerabilidade crítica.
Embora a empresa tenha afirmado que o código de exploração proof-of-concept (PoC) já estava disponível em 13 de agosto, quando lançou as correções para
CVE-2024-7593
, ainda precisa atualizar o aviso de segurança para confirmar a exploração ativa.
Contudo, recomendou a verificação do Audit Logs Output para novos usuários administrativos 'user1' ou 'user2' adicionados via a interface gráfica do usuário (GUI) ou o código de exploração disponível publicamente para encontrar evidências de comprometimento.
A Ivanti também aconselhou os administradores a restringirem o acesso à interface de gerenciamento do vTM, vinculando-a a uma rede interna ou a um endereço IP privado, para bloquear tentativas de ataques potenciais e reduzir a superfície de ataque.
Na terça-feira(24), a CISA adicionou a falha de bypass de autenticação do Ivanti vTM ao seu catálogo de Vulnerabilidades Conhecidas Exploradas, marcando como ativamente explorada.
Conforme exige a Diretiva Operacional Vinculativa (BOD) 22-01, as agências federais agora devem proteger os aparelhos vulneráveis em suas redes dentro de três semanas, até 15 de outubro.
O catálogo KEV da CISA alerta principalmente as agências federais sobre as vulnerabilidades que devem corrigir o quanto antes, mas organizações privadas ao redor do mundo também são aconselhadas a priorizar a mitigação dessa falha de segurança para bloquear ataques em curso.
Nos últimos meses, várias falhas da Ivanti foram exploradas como zero-days em ataques generalizados, visando os aparelhos VPN da empresa e os gateways ICS, IPS e ZTA.
A empresa também alertou, no início deste mês, que atores de ameaças estão encadeando duas vulnerabilidades recentemente corrigidas do Cloud Services Appliance (CSA) em ataques em andamento.
A Ivanti declarou em setembro que aprimorou suas capacidades de escaneamento e teste internos em resposta a esses ataques e atualmente está trabalhando para melhorar seu processo de divulgação responsável para tratar questões de segurança potenciais ainda mais rapidamente.
A Ivanti possui mais de 7.000 parceiros globalmente, e seus produtos são utilizados por mais de 40.000 empresas para gestão de sistemas e ativos de TI.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...