Experts warn of exploit attempt for Ivanti vTM bug CVE-2024-7593
2024/08/19 SecurityAffairs — Ivanti vTM の脆弱性 CVE-2024-7593 (CVSS:9.8) の PoC エクスプロイトを悪用する試みを、Shadowserver Foundation の研究者たちが観測した。その一方で、8月中旬に Ivanti は、Virtual Traffic Manager (vTM) アプライアンスに影響を及ぼす、この深刻な認証バイパスの脆弱性に対処している。脆弱性 CVE-2024-7593 の悪用に成功した攻撃者は、管理者アカウントを不正に作成する可能性を手にするという。
Ivanti vTM (Virtual Traffic Manager) とは、アプリケーション配信を最適化し、セキュアにするために設計された、ソフトウェア・ベースのトラフィック管理ソリューションである。
Ivanti のアドバイザリには、「この脆弱性の悪用に成功した攻撃者は、認証をバイパスし、不正な管理者アカウントを作成する可能性を得る 。この脆弱性は、Ivanti vTM バージョン 22.2R1/22.7R2 未満における認証アルゴリズムの不適切な実装に起因し、リモートの未認証の攻撃者に対して、管理パネルの認証バイパスを許す可能性がある」と記されている。
すでに同社は、2024年3月26日にリリースした パッチ22.2R1、または、2024年5月20日にリリースした 22.7R2 で、この脆弱性に対処している。管理インターフェイスをプライベート IP に向け、そのアクセスを制限しているユーザーであれば、この問題に早急に対処できるとされている。
Ivanti としては、この問題を悪用する攻撃を確認していないが、PoC エクスプロイト・コードが公開されていることは認識しているという。
Ivanti は、「PoC エクスプロイト・コードが公開されていることは認識している。したがって、最新のパッチが適用されたバージョンへと、早急にアップグレードすることを推奨する」と述べている。
この脆弱性の悪用可能性を制限するために、Ivanti が推奨しているのは、プライベート/コーポレート・ネットワークにおいて、ネットワーク内部の管理インターフェイスへのアクセスを制限することである。
8月17日の時点で、Shadowserver Foundation の研究者たちが発見したのは、インターネット上に公開されている 31台の Ivanti vTM デバイスのみである。デバイスの多くは米国 (14台) に存在し、それに続くのが、英国 (5台)/バーレーン (3台)/カナダ (3台) である。そして、公開された PoC に基づく悪用の試みが観測されている。
この Ivanti の脆弱性については、2024/08/13 に「Ivanti vTM の脆弱性 CVE-2024-7593:PoC エクスプロイトが登場」という記事がありますので、そちらもご参照ください。3月と5月にリリースされた 22.2R1/22.7R2 で、パッチは適用されていますが、少量であっても、インターネットに露出しているデバイスがあり、それらが攻撃されているのでしょう。ただし、Ivanti のアドバイザリでは、積極的な攻撃は認識していないと、言及されています。よろしければ、Ivanti で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.