Ivanti, kimlik doğrulamayı atlatmak ve kötü niyetli yönetici kullanıcıları oluşturmak için istismar edilebilecek Virtual Traffic Manager’daki (vTM) kritik bir açık için güvenlik güncellemeleri yayınladı.
CVE-2024-7593 olarak izlenen güvenlik açığının CVSS puanı ise 10.0 üzerinden 9.8.
Şirket, yayınladığı duyuruda, “Ivanti vTM’de 22.2R1 veya 22.7R2 versiyonları dışındaki sürümlerde kimlik doğrulama algoritmasının yanlış uygulanması, uzaktan kimliği doğrulanmamış bir saldırganın yönetici panelinin kimlik doğrulamasını atlatmasına olanak tanıyor” ifadelerine yer verdi.
Aşağıdaki vTM sürümlerini etkiler:
- 22.2 (22.2R1 sürümünde düzeltildi)
- 22.3 (19 Ağustos 2024 haftasında kullanıma sunulacak olan 22.3R3 sürümünde düzeltildi)
- 22.3R2 (19 Ağustos 2024 haftasında kullanıma sunulacak olan 22.3R3 sürümünde düzeltildi)
- 22.5R1 (19 Ağustos 2024 haftasında kullanıma sunulacak olan 22.5R2 sürümünde düzeltildi)
- 22.6R1 (19 Ağustos 2024 haftasında kullanıma sunulacak olan 22.6R2 sürümünde düzeltildi)
- 22.7R1 (22.7R2 sürümünde düzeltildi)
Geçici bir önlem olarak Ivanti, müşterilerine yönetim arayüzüne yönetici erişimini sınırlamalarını veya erişimi güvenilir IP adreslerine sınırlamalarını öneriyor.
Bu açığın yaygın bir şekilde kullanıldığına dair bir kanıt olmasa da, kamuoyuna açık bir kavram kanıtı (PoC) bulunduğu ve kullanıcıların en son düzeltmeleri mümkün olan en kısa sürede uygulamalarının önemli olduğu belirtildi.
Ayrı olarak Ivanti, ITSM için Nöronlarda herhangi bir kullanıcının bilgi ifşasına ve cihazlara yetkisiz erişim elde etmesine neden olabilecek iki eksikliği de ele aldı –
- CVE-2024-7569 (CVSS puanı: 9,6) – Ivanti ITSM yerinde ve ITSM için Neurons 2023.4 ve önceki sürümlerinde bulunan bir bilgi ifşa güvenlik açığı, kimliği doğrulanmamış bir saldırganın hata ayıklama bilgileri aracılığıyla OIDC istemci sırrını elde etmesine olanak tanır
- CVE-2024-7570 (CVSS puanı: 8,3) – Ivanti ITSM yerinde ve ITSM için Neurons Sürüm 2023.4 ve öncesinde uygunsuz sertifika doğrulaması, MITM konumundaki uzak bir saldırganın herhangi bir kullanıcı olarak ITSM’ye erişime izin verecek bir belirteç oluşturmasına olanak tanır
2023.4, 2023.3 ve 2023.2 sürümlerini etkileyen sorunlar sırasıyla 2023.4 w/ patch, 2023.3 w/ patch ve 2023.2 w/ patch sürümlerinde çözüldü.
Ayrıca şirket tarafından yamalananlar arasında Ivanti Avalanche’da hizmet reddi (DoS) durumu veya uzaktan kod yürütme elde etmek için istismar edilebilecek beş yüksek önem dereceli kusur (CVE-2024-38652, CVE-2024-38653, CVE-2024-36136, CVE-2024-37399 ve CVE-2024-37373) bulunmaktadır. Bunlar 6.4.4 sürümünde düzeltilmiştir.