Aujourd’hui, Ivanti a exhorté les clients à corriger une vulnérabilité critique de contournement d’authentification affectant les appliances Virtual Traffic Manager (vTM) qui peut permettre aux attaquants de créer des comptes d’administrateur non autorisés.

Ivanti vTM est un contrôleur de distribution d’applications (ADC) basé sur un logiciel qui fournit une gestion du trafic centrée sur les applications et un équilibrage de charge pour l’hébergement de services critiques pour l’entreprise.

Identifiée comme CVE-2024-7593, cette vulnérabilité de contournement d’authentification est due à une implémentation incorrecte d’un algorithme d’authentification qui permet aux attaquants distants non authentifiés de contourner l’authentification sur les panneaux d’administration vTM exposés à Internet.

« Ivanti a publié des mises à jour pour Ivanti Virtual Traffic Manager (vTM) qui corrigeaient une vulnérabilité critique. Une exploitation réussie pourrait conduire à un contournement d’authentification et à la création d’un utilisateur administrateur », a averti la société mardi.

« Nous n’avons connaissance d’aucun client exploité par cette vulnérabilité au moment de la divulgation. Cependant, une preuve de concept est accessible au public et nous exhortons les clients à passer à la dernière version corrigée. « 

Ivanti conseille aux administrateurs de restreindre l’accès à l’interface de gestion vTM en la liant à un réseau interne ou à une adresse IP privée afin de réduire la surface d’attaque et de bloquer les tentatives d’exploitation potentielles.

Pour limiter l’accès des administrateurs à l’interface de gestion via le réseau privé / d’entreprise, les administrateurs doivent:

  1. Accédez à Système > Sécurité, puis cliquez sur le menu déroulant de la section Adresse IP de gestion et Port du serveur d’administration de la page.
  2. Dans le menu déroulant « bindip », sélectionnez l’adresse IP de l’interface de gestion ou utilisez le paramètre directement au-dessus du paramètre « bindip » pour restreindre l’accès aux adresses IP de confiance, limitant davantage qui peut accéder à l’interface.
Limitation de l’accès administrateur à l’interface de gestion

La faille de sécurité a été corrigée dans Ivanti vTM 22. 2R1 et 22. 7R2, et des correctifs seront publiés pour les versions restantes prises en charge au cours des prochaines semaines.

Ivanti affirme qu’il n’a aucune preuve que le contournement d’authentification CVE-2024-7593 a été exploité dans des attaques, mais a conseillé aux administrateurs de vérifier la sortie des journaux d’audit pour les nouveaux utilisateurs administrateurs ‘user1’ ou ‘user2’ ajoutés via l’interface graphique ou en utilisant le code d’exploitation accessible au public.

Aujourd’hui, Ivanti a également averti les administrateurs de corriger immédiatement une vulnérabilité de divulgation d’informations (CVE-2024-7569) dans Ivanti ITSM on-prem et Neurons pour les versions ITSM 2023.4 et antérieures. Cette vulnérabilité peut permettre à des attaquants non authentifiés d’obtenir le secret du client OIDC via des informations de débogage.

L’entreprise a corrigé une autre faille de contournement d’authentification (CVE-2024-22024) affectant les passerelles Ivanti Connect Secure, Policy Secure et ZTA en février lorsqu’elle a exhorté les administrateurs à sécuriser immédiatement les appliances vulnérables.

Les appliances Ivanti VPN sont attaquées depuis décembre 2023 à l’aide d’exploits enchaînant le contournement d’authentification CVE-2023-46805 et les failles d’injection de commandes CVE-2024-21887 en jours zéro.

La société a également mis en garde contre un troisième jour zéro (un bogue de falsification de requêtes côté serveur suivi sous le nom de CVE-2024-21893) sous exploitation de masse en février, permettant aux acteurs de la menace de contourner l’authentification sur les passerelles ICS, IPS et ZTA non corrigées.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *