A PoC exploit code is available for critical Ivanti vTM bug
2024/08/13 SecurityAffairs — Ivanti vTM (Virtual Traffic Manager) アプライアンスに影響を及ぼす、脆弱性 CVE-2024-7593 (CVSS:9.8) が修正された。この脆弱性の悪用に成功した攻撃者は認証バイパスを達成し、不正な管理者アカウントを作成する可能性を手にする。Ivanti vTM は、アプリケーション配信を最適化し、その際の安全性を高めるために設計された、ソフトウェア・ベースのトラフィック管理ソリューションである。
Iventi のアドバイザリには、「この脆弱性の悪用が成功すると、認証がバイパスされ、管理者ユーザーが作成される可能性が生じる。Ivanti vTM のバージョン 22.2R1/22.7R2 未満における、認証アルゴリズムの不適切な実装により、リモートの未認証の攻撃者が、管理パネルの認証をバイパスする可能性が生じている」と記されている。
この脆弱性は、認証アルゴリズムの不適切な実装に起因しており、リモートの未認証の攻撃者であっても、インターネットに面した vTM 管理コンソールの認証を、バイパスすることを可能にするという。
すでに Ivanti は、2024年3月26日にリリースしたパッチ 22.2R1 および、2024年5月20日にリリースした 22.7R2 により、この欠陥に対処している。管理インターフェイスをプライベート IP に向け、アクセスを制限しているユーザーであれば、この問題に早急に対処できると、同社は説明している。
Ivanti は、この脆弱性悪用した攻撃については確認していないとしているが、PoC エクスプロイト・コードの公開ついては認めている。
同社は、「Proof of Concept のエクスプロイト・コードが公開されていることは知っている。したがって、最新のパッチが適用されたバージョンへと、アップグレードすることを強く推奨する」と述べている。
この脆弱性の悪用可能性を制限するために、Ivanti 推奨しているのは、ネットワーク内部の管理インターフェイスへの管理者アクセスを、プライベート/コーポレート・ネットワークを通じて制限することである。
以下は、同社が提供する手順である:
1. VTM サーバ上で “System” > “Security” へと進み、”Management IP Address and Admin Server Port” セクションのドロップダウンをクリックする。
2. bindip ドロップダウンで、管理インターフェイス IP アドレスを選択する。別のオプションとして、bindip の真上にある設定を利用して、アクセスを信頼できる IP アドレスに制限し、インターフェイスにアクセスできるユーザを更に制限することも可能である。
Ivanti vTM の、脆弱性 CVE-2024-7593 (CVSS:9.8) が修正されました。表題と文中で、PoC エクスプロイトについて触れられていますが、調べた範囲において PoC 自体を提供するサイトは見つかりませんでした。同社のプロダクトは、脅威アクターたちに狙われやすいので、ご利用のチームは、十分に ご注意ください。よろしければ、Iventi で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.