美國CISA 警告：Ivanti vTM 身份驗證繞過漏洞已在野遭利用

美國網路安全暨基礎設施安全局 (CISA) 證實，Ivanti Virtual Traffic Manager (vTM) 的一個嚴重漏洞 (CVE-2024-7593) 已被攻擊者利用。CISA 已將此漏洞列入「已知被利用漏洞(KEV)」目錄，要求所有美國聯邦民間行政部門機構於 2024 年 10 月 15 日前進行修復。

關於 CVE-2024-7593

Ivanti Virtual Traffic Manager 是一款基於軟體的應用程式交付控制器和負載平衡解決方案。它包含一個基於網頁的管理介面，用於監控 Ivanti Virtual Traffic Manager 叢集的流量。
 
CVE-2024-7593 源於早於 22.2R1、22.3R3、22.5R2、22.6R2 或 22.7R2 版本的 Ivanti vTM 中，驗證演算法實作不正確所導致。
 
Ivanti 於 8 月 12 日確認，此漏洞可能允許遠端未經身份驗證的攻擊者繞過管理員面板的身份驗證，並創建管理員用戶。
 
Ivanti表示，此漏洞可透過管理介面存取。為限制此漏洞的可利用性，業界最佳實踐和 Ivanti 建議是通過私人/企業網路將管理介面的管理員存取權限制在內部網路範圍內。
 
當時，Ivanti 確認已有公開可用的概念驗證漏洞利用程式碼，但表示尚未察覺有客戶因此漏洞遭到攻擊。

應對措施

近期，Ivanti 設備 (包括 VPN 裝置、Gateway和雲端服務設備) 頻繁成為攻擊者利用零日和 n-day 漏洞的目標，促使該公司改進安全實踐並加速安全計畫。
 
Ivanti 於 8 月 19 日發布最新修補程式後，Censys 搜索了暴露於網路的 Ivanti vTM 設備，發現有 97 台。
 
系統管理員應盡快升級至已修復的 vTM 版本，並/或限制管理介面的存取權限。同時，建議檢查「審計日誌輸出(Audit Logs Output)」，尋找是否有透過圖形用戶介面或漏洞利用程式碼新增管理員用戶的特定跡象。

本文轉載自helpnetsecurity。