Kritické zraniteľnosti v Ivanti Virtual Traffic Manager a Ivanti Neurons for ITSM
Spoločnosť Ivanti vydala bezpečnostné aktualizácie pre svoje produkty Virtual Traffic Manager a Neurons for ITSM, ktoré opravujú 3 bezpečnostné zraniteľnosti, z toho 2 sú označené ako kritické. Zneužitím zraniteľností je možné získať neoprávnený prístup do systému a k citlivým údajom.
Zraniteľné systémy:
- Ivanti Virtual Traffic Manager vo verzii staršej ako 22.2R1, 22.3R3, 22.5R2, 22.6R2 a 22.7R2
Pozn. aktualizácie 22.3R3, 22.5R2 a 22.6R2 budú vydané v 34. kalendárnom týždni
- Ivanti Neurons for ITSM vo verzii 2023.2, 2023.3 a 2023.4 bez bezpečnostnej záplaty
Pozn. Zraniteľnosti je možné zneužiť len na inštanciách, ktoré využívajú autentifikáciu prostredníctvom OIDC. Zraniteľné sú aj inštancie Ivanti Neurons for ITAM, nakoľko zdieľajú platformu s Ivanti Neurons for ITSM. Cloudové inštancie výrobca automaticky aktualizoval 4. augusta 2024.
Opis zraniteľnosti:
Ivanti Virtual Traffic Manager:
CVE-2024-7593 (CVSS skóre 9.8)
Zraniteľnosť spočíva v nesprávnej implementácii mechanizmov autentifikácie a vzdialený neautentifikovaný útočník by ju mohol zneužiť získanie neoprávneného prístupu do administratívneho rozhrania a následné vytvorenie administrátorských účtov. Na uvedenú zraniteľnosť je v súčasnosti dostupný proof-of-concept kód demonštrujúci návod pre jej zneužitie.
Úspešné zneužitie zraniteľnosti možno identifikovať analýzou obsahu Audit Logs Output. Administrátorské účty vytvorené zneužitím zraniteľnosti majú viacero polí nastavených na hodnotu !!ABSENT!!, viď. príklad:
[08/Aug/2024:21:54:22 +0530] USER=!!ABSENT!! GROUP=!!ABSENT!! AUTH=!!ABSENT!! IP=!!ABSENT!! OPERATION=adduser MODUSER=user2 MODGROUP=admin
Ivanti Neurons for ITSM:
CVE-2024-7569 (CVSS skóre 9.6)
Zraniteľnosť umožňuje vzdialenému neautentifikovanému útočníkovi získať neoprávnený prístup k citlivým údajom OIDC klienta potrebných na prihlásenie do systému a následne získať úplnú kontrolu nad systémom.
CVE-2024-7570 (CVSS skóre 8.3)
CVE-2024-7570 spočíva v nesprávnom overovaní certifikátov a vzdialený útočník v man-in-the-middle pozícii by ju mohol zneužiť na vytvorenie tokenu umožňujúceho získanie neoprávneného prístupu do systému.
Možné škody:
- Neoprávnený prístup k citlivým údajom
- Neoprávnený prístup do systému
Odporúčania:
Administrátorom Ivanti Virtual Traffic Manager odporúčame bezodkladnú aktualizáciu na verzie 22.2R1 alebo 22.7R2. Bezpečnostné záplaty s označení 22.3R3, 22.5R2 a 22.6R2 pre zvyšné zraniteľné verzie budú vydané v 34. kalendárnom týždni. V prípade, že aktualizáciu systémov nemožno vykonať, výrobca odporúča limitovať prístup k administratívnemu rozhraniu. Presný postup nájdete na stránke výrobcu v časti Mitigation and Workaround.
Administrátorom Ivanti Neurons for ITSM a Ivanti Neurons for ITAM odporúčame bezodkladnú inštaláciu bezpečnostných záplat.
Zdroje: