Hari ini, Ivanti mendesak pelanggan untuk menambal kerentanan bypass autentikasi kritis yang memengaruhi peralatan Virtual Traffic Manager (vTM) yang dapat memungkinkan penyerang membuat akun administrator jahat.
Ivanti vTM adalah pengontrol pengiriman aplikasi (ADC) berbasis perangkat lunak yang menyediakan manajemen lalu lintas dan penyeimbangan beban yang berpusat pada aplikasi untuk menghosting layanan penting bisnis.
Dilacak sebagai CVE-2024-7593, kerentanan bypass autentikasi ini disebabkan oleh implementasi algoritma autentikasi yang tidak tepat yang memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk melewati autentikasi pada panel admin vTM yang terekspos Internet.
“Ivanti merilis pembaruan untuk Ivanti Virtual Traffic Manager (vTM) yang mengatasi kerentanan kritis. Eksploitasi yang berhasil dapat menyebabkan bypass otentikasi dan pembuatan pengguna administrator,” perusahaan tersebut diperingatkan pada hari Selasa.
“Kami tidak mengetahui adanya pelanggan yang dieksploitasi oleh kerentanan ini pada saat pengungkapan. Namun, Bukti Konsep tersedia untuk umum, dan kami mendesak pelanggan untuk memperbarui ke versi terbaru yang telah ditambal.”
Ivanti menyarankan admin untuk membatasi akses ke antarmuka manajemen vTM dengan mengikatnya ke jaringan internal atau alamat IP pribadi untuk mengurangi permukaan serangan dan memblokir potensi upaya eksploitasi.
Untuk membatasi akses admin ke antarmuka manajemen melalui jaringan pribadi/perusahaan, admin harus:
- Navigasi ke Sistem > Keamanan, lalu klik menu tarik-turun untuk bagian Alamat IP Manajemen dan Port Server Admin pada halaman tersebut.
- Pada menu drop-down ‘bindip’, pilih Alamat IP Antarmuka Manajemen atau gunakan pengaturan tepat di atas pengaturan “bindip” untuk membatasi akses ke alamat IP tepercaya, yang selanjutnya membatasi siapa saja yang dapat mengakses antarmuka tersebut.
Kelemahan keamanan telah diperbaiki di Ivanti vTM 22.2R1 dan 22.7R2, dan patch akan dirilis untuk versi yang didukung lainnya dalam beberapa minggu mendatang.
Ivanti mengatakan tidak mempunyai bukti bahwa bypass autentikasi CVE-2024-7593 telah dieksploitasi dalam serangan, namun menyarankan admin untuk memeriksa Keluaran Log Audit untuk pengguna admin ‘user1’ atau ‘user2’ baru yang ditambahkan melalui GUI atau menggunakan kode eksploitasi yang tersedia untuk umum.
Saat ini, Ivanti juga memperingatkan admin untuk segera menambal kerentanan pengungkapan informasi (CVE-2024-7569) di Ivanti ITSM on-prem dan Neurons for ITSM versi 2023.4 dan versi sebelumnya. Kerentanan ini dapat memungkinkan penyerang yang tidak diautentikasi memperoleh rahasia klien OIDC melalui informasi debug.
Perusahaan menambal kelemahan bypass otentikasi lainnya (CVE-2024-22024) yang memengaruhi gateway Ivanti Connect Secure, Policy Secure, dan ZTA pada bulan Februari saat mendesak admin untuk segera mengamankan peralatan yang rentan.
Peralatan VPN Ivanti telah diserang sejak Desember 2023 menggunakan eksploitasi yang menggabungkan celah otentikasi CVE-2023-46805 dan kelemahan injeksi perintah CVE-2024-21887 sebagai hari nol.
Perusahaan juga memperingatkan adanya zero-day ketiga (bug pemalsuan permintaan sisi server dilacak sebagai CVE-2024-21893) di bawah eksploitasi massal pada bulan Februari, yang memungkinkan pelaku ancaman melewati autentikasi pada gateway ICS, IPS, dan ZTA yang belum ditambal.
