CISA a identifié une autre vulnérabilité critique de sécurité Ivanti, qui peut permettre aux acteurs de la menace de créer des utilisateurs administrateurs indésirables sur des appliances vulnérables Virtual Traffic Manager (vTM), activement exploitées dans des attaques.
Répertorié comme CVE-2024-7593, ce défaut de contournement d’authentification est causé par une implémentation incorrecte d’un algorithme d’authentification qui permet aux attaquants distants non authentifiés de contourner l’authentification sur les panneaux d’administration vTM exposés à Internet.
Ivanti vTM est un contrôleur de distribution d’applications (ADC) basé sur un logiciel qui fournit un équilibrage de charge et une gestion du trafic pour l’hébergement de services critiques pour l’entreprise.
« Une exploitation réussie pourrait entraîner un contournement de l’authentification et la création d’un utilisateur administrateur », a averti Ivanti lorsqu’il a publié des mises à jour de sécurité pour corriger cette vulnérabilité critique.
Alors que la société a déclaré que le code d’exploitation de preuve de concept (PoC) était déjà disponible le 13 août lorsqu’elle a publié les correctifs CVE-2024-7593, elle n’a pas encore mis à jour l’avis de sécurité pour confirmer l’exploitation active.
Cependant, il a recommandé de vérifier la sortie des journaux d’audit pour les nouveaux utilisateurs administrateurs « utilisateur1 » ou « utilisateur2 » ajoutés via l’interface graphique ou le code d’exploitation accessible au public pour trouver des preuves de compromission.
Ivanti a également conseillé aux administrateurs de restreindre l’accès à l’interface de gestion vTM en la liant à un réseau interne ou à une adresse IP privée pour bloquer les tentatives d’attaque potentielles et réduire la surface d’attaque.
Mardi, CISA a ajouté la faille de contournement d’authentification Ivanti vTM à son catalogue de vulnérabilités exploitées connues, la marquant comme activement exploitée. Comme l’exige la Directive opérationnelle contraignante (BOD) 22-01, les agences fédérales doivent désormais sécuriser les appareils vulnérables sur leurs réseaux dans un délai de trois semaines d’ici le 15 octobre.
Le catalogue KEV de CISA alerte principalement les agences fédérales sur les vulnérabilités qu’elles doivent corriger dès que possible, mais il est également conseillé aux organisations privées du monde entier de donner la priorité à l’atténuation de cette faille de sécurité pour bloquer les attaques en cours.
Au cours des derniers mois, plusieurs failles Ivanti ont été exploitées comme des jours zéro dans des attaques généralisées ciblant les appliances VPN et les passerelles ICS, IPS et ZTA de l’entreprise. La société a également averti plus tôt ce mois-ci que les acteurs de la menace enchaînaient également deux vulnérabilités d’appliance de services Cloud (CSA) récemment corrigées dans les attaques en cours.
Ivanti a déclaré en septembre avoir amélioré ses capacités internes d’analyse et de test en réponse à ces attaques et travaille actuellement à l’amélioration de son processus de divulgation responsable pour résoudre encore plus rapidement les problèmes de sécurité potentiels.
Ivanti compte plus de 7 000 partenaires dans le monde et ses produits sont utilisés par plus de 40 000 entreprises pour la gestion des systèmes et des actifs informatiques.