CISA, tehdit aktörlerinin saldırılarda aktif olarak sömürüldüğü gibi, savunmasız sanal trafik yöneticisi (VTM) cihazlarında haydut yönetici kullanıcıları yaratmasına izin verebilecek başka bir kritik Ivanti güvenlik açığı etiketledi.
CVE-2024-7593 olarak izlenen bu auth bypass kusuru, uzaktan kalıcı olmayan saldırganların internete maruz kalan VTM yönetici panellerinde kimlik doğrulamasını atlatmasını sağlayan bir kimlik doğrulama algoritmasının yanlış uygulanmasından kaynaklanır.
Ivanti VTM, iş açısından kritik hizmetleri barındırmak için yük dengeleme ve trafik yönetimi sağlayan yazılım tabanlı bir uygulama dağıtım denetleyicisidir (ADC).
Ivanti, "Başarılı sömürü, bir yönetici kullanıcısının kimlik doğrulamasına ve bir yönetici kullanıcısının oluşturulmasına yol açabilir."
Şirket, Conseptal (POC) istismar kodunun 13 Ağustos'ta CVE-2024-7593 yamalarını piyasaya sürdüğünde zaten mevcut olduğunu söylerken, aktif sömürüyü onaylamak için güvenlik danışmanlığını henüz güncellemedi.
Ancak, uzlaşma kanıtlarını bulmak için GUI veya halka açık istismar kodu aracılığıyla eklenen yeni 'User1' veya 'User2' yönetici kullanıcıları için denetim günlük çıkışının kontrol edilmesini önerir.
Ivanti ayrıca yöneticilere, potansiyel saldırı denemelerini engellemek ve saldırı yüzeyini azaltmak için bir dahili ağa veya özel bir IP adresine bağlayarak VTM yönetim arayüzüne erişimi kısıtlamalarını tavsiye etti.
Salı günü, CISA, bilinen sömürülen güvenlik açıkları kataloğuna Ivanti VTM kimlik doğrulama bypass kusurunu aktif olarak sömürülen olarak etiketleyerek ekledi. Bağlayıcı Operasyonel Direktifin (BOD) 22-01) gerektirdiği gibi, federal kurumlar artık 15 Ekim'e kadar üç hafta içinde ağlarında savunmasız cihazları güvence altına almalıdır.
CISA'nın KEV kataloğu öncelikle federal ajansları mümkün olan en kısa sürede yama yapmaları gereken güvenlik açıkları konusunda uyarıyor, ancak dünya çapındaki özel kuruluşların da bu güvenlik kusurunu devam eden saldırıları engellemek için azaltması öneriliyor.
Son aylarda, şirketin VPN cihazlarını ve IC'lerini, IP'lerini ve ZTA ağ geçitlerini hedefleyen yaygın saldırılarda birkaç Ivanti kusuru kullanılmıştır. Şirket ayrıca bu ayın başlarında tehdit aktörlerinin devam eden saldırılarda yakın zamanda yamalı iki bulut hizmeti cihazı (CSA) güvenlik açıklarını da zincirlediği konusunda da uyardı.
Ivanti Eylül ayında, bu saldırılara yanıt olarak dahili tarama ve test yeteneklerini geliştirdiğini ve şu anda potansiyel güvenlik sorunlarını daha da hızlı ele almak için sorumlu açıklama sürecini geliştirmeye çalıştığını belirtti.
Ivanti'nin küresel olarak 7.000'den fazla ortağı vardır ve ürünleri 40.000'den fazla şirket tarafından sistem ve BT varlık yönetimi için kullanılmaktadır.
Ivanti, kamu istismarıyla kritik vtm auth bypass'ı uyarıyor
Kritik Ivanti RCE kusuru için piyasaya sürülen istismar kodu, şimdi yama
Ağustos ayından bu yana halka açık istismar ile whatsup altın hedefliyor
Kritik İlerleme Whatup RCE Kusur şimdi aktif sömürü altında
CISA: Bilgisayar korsanları “sofistike olmayan yöntemler” kullanarak endüstriyel sistemleri hedefleyin
Kaynak: Bleeping Computer