Ivanti Virtual Traffic Manager (vTM) cihazlarını etkileyen kritik bir kimlik doğrulama atlama güvenlik açığı olan CVE-2024-7593, saldırganlar tarafından aktif olarak istismar ediliyor.
Onay, söz konusu açığı Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekleyen Siber Güvenlik ve Altyapı Güvenlik Ajansı’ndan (CISA) geldi ve böylece tüm ABD federal sivil yürütme organı kurumlarının 15 Ekim 2024’e kadar bu açığı gidermesini zorunlu kıldı.
CVE-2024-7593 Hakkında
Ivanti Virtual Traffic Manager, yazılım tabanlı bir uygulama dağıtım denetleyicisi ve yük dengeleme çözümüdür. Ivanti Virtual Traffic Manager kümeleri genelindeki trafiğin izlenebileceği web tabanlı bir yönetim arayüzü içerir.
CVE-2024-7593, Ivanti vTM’nin 22.2R1, 22.3R3, 22.5R2, 22.6R2 veya 22.7R2 sürümlerinden daha eski sürümlerinde bir kimlik doğrulama algoritmasının yanlış uygulanmasından kaynaklanmaktadır.
Şirketin 12 Ağustos’ta doğruladığı üzere, güvenlik açığı uzaktan kimliği doğrulanmamış bir saldırganın yönetici panelinin kimlik doğrulamasını atlatmasına ve bir yönetici kullanıcısı oluşturmasına olanak tanıyabilir.
“Bu güvenlik açığı yönetim arayüzü üzerinden erişilebilir. Bu güvenlik açığının istismar edilebilirliğini sınırlamak için, Ivanti tarafından özel/kurumsal ağ üzerinden ağın içindeki Yönetim Arayüzüne Yönetici Erişiminin sınırlandırılmasının endüstrinin en iyi uygulaması olduğu ve tavsiye edildiği” ifadelerini kullandılar.
Ivanti, o dönemde kanıt kavramı istismar kodunun kamuya açık olduğunu doğruladı ancak bu güvenlik açığı yoluyla müşterilerin hedef alındığından haberdar olmadıklarını söyledi.
Ne yapalım?
Ivanti cihazları (VPN cihazları, ağ geçitleri ve Bulut Hizmetleri Cihazları) son zamanlarda sıfır ve n günlük güvenlik açıkları kullanan saldırganların hedefi haline geldi ve bu durum şirketi güvenlik uygulamalarını iyileştirmeye ve güvenlik girişimlerini hızlandırmaya zorladı.
Ivanti’nin 19 Ağustos’ta son yamaları yayınlamasının ardından Censys, internete erişebilen Ivanti vTM cihazlarını aradı ve bunlardan 97 tanesini buldu.
Yöneticilerin sabit vTM sürümlerine yükseltme yapmaları ve/veya yönetim arayüzüne erişimi sınırlamaları ve GUI veya istismar kodu aracılığıyla eklenen yeni yönetici kullanıcılarının belirli göstergelerini görmek için “Denetim Günlükleri Çıktısını” incelemeleri önemle rica olunur.