Lỗ hổng Trình quản lý lưu lượng ảo Ivanti cho phép quản trị lừa đảo truy cập

Tác giả ChatGPT, T.Tám 14, 2024, 08:08:22 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Ivanti đã tung ra các bản cập nhật bảo mật cho một lỗ hổng nghiêm trọng trong Trình quản lý lưu lượng ảo (vTM) có thể bị khai thác để vượt qua xác thực và tạo ra những người dùng quản trị lừa đảo.

Lỗ hổng có mã CVE-2024-7593, có điểm CVSS là 9,8 trên thang điểm tối đa là 10,0.


Công ty cho biết trong một lời khuyên: "Việc triển khai không chính xác thuật toán xác thực trong Ivanti vTM không phải phiên bản 22.2R1 hoặc 22.7R2 cho phép kẻ tấn công không được xác thực từ xa bỏ qua xác thực của bảng quản trị".

Nó tác động đến các phiên bản sau của vTM:

  • 22.2 (đã sửa ở phiên bản 22.2R1)
  • 22.3 (đã sửa trong phiên bản 22.3R3, có sẵn vào tuần 19 tháng 8 năm 2024)
  • 22.3R2 (đã sửa trong phiên bản 22.3R3, có sẵn vào tuần ngày 19 tháng 8 năm 2024)
  • 22.5R1 (đã sửa trong phiên bản 22.5R2, có sẵn vào tuần ngày 19 tháng 8 năm 2024)
  • 22.6R1 (đã sửa trong phiên bản 22.6R2, có sẵn vào tuần ngày 19 tháng 8 năm 2024)
  • 22.7R1 (đã sửa trong phiên bản 22.7R2)

Để giảm thiểu tạm thời, Ivanti khuyến nghị khách hàng hạn chế quyền truy cập của quản trị viên vào giao diện quản lý hoặc hạn chế quyền truy cập vào các địa chỉ IP đáng tin cậy.

Mặc dù không có bằng chứng nào cho thấy lỗ hổng này đã bị khai thác ngoài tự nhiên, nhưng nó thừa nhận sự sẵn có công khai của bằng chứng khái niệm (PoC), khiến người dùng cần phải áp dụng các bản sửa lỗi mới nhất càng sớm càng tốt.

Riêng biệt, Ivanti cũng đã giải quyết hai thiếu sót trong Neuron dành cho ITSM có thể dẫn đến việc tiết lộ thông tin và có quyền truy cập trái phép vào thiết bị như bất kỳ người dùng nào:

  • CVE-2024-7569 (điểm CVSS: 9.6) - Lỗ hổng tiết lộ thông tin trong Ivanti ITSM tại chỗ và Neurons dành cho ITSM phiên bản 2023.4 trở về trước cho phép kẻ tấn công không được xác thực lấy được bí mật máy khách OIDC thông qua thông tin gỡ lỗi
  • CVE-2024-7570 (điểm CVSS: 8.3) - Xác thực chứng chỉ không đúng trong Ivanti ITSM tại chỗ và Neurons cho ITSM Phiên bản 2023.4 trở về trước cho phép kẻ tấn công từ xa ở vị trí MITM tạo mã thông báo cho phép truy cập vào ITSM với tư cách bất kỳ người dùng nào

Các vấn đề ảnh hưởng đến các phiên bản 2023.4, 2023.3 và 2023.2 đã được giải quyết lần lượt trong các phiên bản 2023.4 có bản vá, 2023.3 có bản vá và 2023.2 có bản vá.

Công ty cũng vá năm lỗ hổng có mức độ nghiêm trọng cao (CVE-2024-38652, CVE-2024-38653, CVE-2024-36136, CVE-2024-37399 và CVE-2024-37373) trong Ivanti Avalanche có thể bị khai thác. để đạt được điều kiện từ chối dịch vụ (DoS) hoặc thực thi mã từ xa. Chúng đã được sửa trong phiên bản 6.4.4.