A Ivanti lançou atualizações de segurança para uma falha crítica no Digital Site visitors Supervisor (vTM) que poderia ser explorada para contornar a autenticação e criar usuários administrativos desonestos.
A vulnerabilidade, rastreada como CVE-2024-7593, tem uma pontuação CVSS de 9,8 de um máximo de 10,0.
“A implementação incorreta de um algoritmo de autenticação no Ivanti vTM diferente das versões 22.2R1 ou 22.7R2 permite que um invasor remoto não autenticado ignore a autenticação do painel de administração”, disse a empresa em um comunicado.
Ele afeta as seguintes versões do vTM –
- 22.2 (corrigido na versão 22.2R1)
- 22.3 (corrigido na versão 22.3R3, disponível na semana de 19 de agosto de 2024)
- 22.3R2 (corrigido na versão 22.3R3, disponível na semana de 19 de agosto de 2024)
- 22.5R1 (corrigido na versão 22.5R2, disponível na semana de 19 de agosto de 2024)
- 22.6R1 (corrigido na versão 22.6R2, disponível na semana de 19 de agosto de 2024)
- 22.7R1 (corrigido na versão 22.7R2)
Como mitigação temporária, a Ivanti recomenda que os clientes limitem o acesso do administrador à interface de gerenciamento ou restrinjam o acesso a endereços IP confiáveis.
Embora não haja evidências de que a falha tenha sido explorada, foi reconhecida a disponibilidade pública de uma prova de conceito (PoC), tornando essencial que os usuários apliquem as correções mais recentes o mais rápido possível.
Separadamente, a Ivanti também abordou duas deficiências no Neurons para ITSM que poderiam resultar na divulgação de informações e obter acesso não autorizado aos dispositivos como qualquer usuário –
- CVE-2024-7569 (pontuação CVSS: 9,6) – Uma vulnerabilidade de divulgação de informações no Ivanti ITSM on-prem e Neurons para versões ITSM 2023.4 e anteriores permite que um invasor não autenticado obtenha o segredo do cliente OIDC por meio de informações de depuração
- CVE-2024-7570 (pontuação CVSS: 8,3) – Validação de certificado imprópria no Ivanti ITSM on-prem e Neurons para ITSM versões 2023.4 e anteriores permite que um invasor remoto em uma posição MITM crie um token que permitiria acesso ao ITSM como qualquer usuário
Os problemas, que afetam as versões 2023.4, 2023.3 e 2023.2, foram resolvidos nas versões 2023.4 com patch, 2023.3 com patch e 2023.2 com patch, respectivamente.
Também corrigidas pela empresa estão cinco falhas de alta gravidade (CVE-2024-38652, CVE-2024-38653, CVE-2024-36136, CVE-2024-37399 e CVE-2024-37373) no Ivanti Avalanche que poderiam ser exploradas para atingir uma condição de negação de serviço (DoS) ou execução remota de código. Elas foram corrigidas na versão 6.4.4.