Contournement de l'authentification du gestionnaire de trafic virtuel Ivanti (vTM) [CVE-2024-7593].
Date de divulgation: 12 août 2024
CVE-ID et score CVSS: CVE-2024-7593 : CVSS 9.8 (attribué par Ivanti)
Description de l'actif : Ivanti Virtual Traffic Manager (vTM) est une application logicielle utilisée pour gérer et optimiser la livraison d'applications à travers les réseaux. Cette vulnérabilité affecte les versions 22.2 à 22.2R1 et 22.3 à 22.3R1.
Interface Ivanti vTM exposée, avec des indications de l'utilisation de la version 22.2 vulnérable.
Impact de la vulnérabilité : La vulnérabilité permet à un attaquant distant non authentifié de contourner l'authentification du panneau d'administration et de créer un nouvel utilisateur administrateur, ce qui peut conduire à un accès et un contrôle non autorisés sur le système affecté.
Détails de l'exploitation : Un PoC public est disponible pour cette vulnérabilité. La faille est due à une implémentation incorrecte d'un algorithme d'authentification, qui peut être exploitée par des attaquants pour obtenir un accès non autorisé. Ivanti a déclaré qu'elle "n'a pas connaissance de clients exploités par cette vulnérabilité au moment de la divulgation". Cependant, une preuve de concept est publiquement disponible, et nous recommandons vivement aux clients de passer à la dernière version corrigée".
Disponibilité des correctifs : Ivanti a publié des correctifs pour les versions 22.2 et 22.7R1 jusqu'à présent, et prévoit de publier des correctifs pour toutes les versions d'ici la semaine du 19 août (cette semaine, au moment de la rédaction de cet article). Vous trouverez ci-dessous le tableau fourni dans leur avis avec le déploiement prévu des correctifs pour toutes les versions.
| Gestionnaire de trafic virtuel Ivanti |
22.2 |
22.2R1 |
Disponible |
| Gestionnaire de trafic virtuel Ivanti |
22.3 |
22.3R3 |
Semaine du 19 août |
| Gestionnaire de trafic virtuel Ivanti |
22.3R2 |
22.3R3 |
Semaine du 19 août |
| Gestionnaire de trafic virtuel Ivanti |
22.5R1 |
22.5R2 |
Semaine du 19 août |
| Gestionnaire de trafic virtuel Ivanti |
22.6R1 |
22.6R2 |
Semaine du 19 août |
| Gestionnaire de trafic virtuel Ivanti |
22.7R1 |
22.7R2 |
Disponible |
Censys Perspective :
- À l'heure où nous écrivons ces lignes, Censys observe 97 appareils exposés en ligne.
- Conformément à notre politique, nous ne divulguons pas les requêtes Censys pour la réponse rapide dans les avis publics lorsque nos données indiquent que 100 appareils ou moins sont touchés, afin d'éviter de fournir des cibles directement exploitables aux acteurs de la menace.
Références :
