Proof-of-Concept bereits verfügbar Kritische Schwachstelle in Ivanti Virtual Traffic Manager

Die kritische Sicherheitslücke CVE-2024-7593 mit einem CVSS-Score von 9.8 ermöglicht es Angreifern die Authentifizierung im Administrations­bereich des Ivanti Virtual Traffic Manager zu umgehen und unberechtigt Adminrechte zu erlangen. Durch die Ausnutzung der Sicherheitslücke lassen sich Systeme vollständig kompromittieren.

Derzeit gibt es verschiedene Sicherheitslücken in Produkten von Ivanti. Die Schwachstelle CVE-2024-7593 ist aktuell besonders dramatisch für Ivanti Virtual Traffic Manager. Ein Proof-of-Concept (PoC) für diese Schwachstelle ist bereits öffentlich verfügbar, was die Dringlichkeit einer schnellen Patch-Installation unterstreicht.

Update für Ivanti Endpoint dringend installieren!

Schwachstelle CVE-2024-37381 gefährdet ganze Netzwerke

CVE-2024-7593 im Detail

Ivanti hat kürzlich ein kritisches Update für den Ivanti Virtual Traffic Manager (vTM) veröffentlicht, das eine schwerwiegende Sicherheitslücke behebt. Die Schwachstelle CVE-2024-7593 ermöglicht es einem Angreifer, die Authentifizierung im Administrations­bereich des vTM zu umgehen und unberechtigt Administratorrechte zu erlangen. Das Risiko dieser Lücke wird durch einen CVSS-Score von 9.8 als äußerst kritisch eingestuft. Eine erfolgreiche Ausnutzung könnte schwerwiegende Konsequenzen haben, da der Angreifer vollständige Kontrolle über den Traffic-Manager erlangen könnte.

Der betroffene Code bezieht sich auf die fehlerhafte Implementierung eines Authentifizierungs­algorithmus, der in den Versionen vor 22.2R1 und 22.7R2 des vTM vorkommt. Diese Schwachstelle betrifft mehrere Versionen des Produkts, darunter 22.2, 22.3, 22.5R1, 22.6R1 und 22.7R1. Ivanti hat inzwischen für alle Versionen Patches bereitgestellt.

Ivanti empfiehlt dringend, die betroffenen Systeme umgehend auf die neuesten Versionen zu aktualisieren, um diese Schwachstelle zu schließen. Besonders Kunden, die den Verwaltungszugang des vTM auf eine private IP-Adresse beschränkt haben, minimieren das Risiko eines erfolgreichen Angriffs erheblich. Diese Konfiguration wird auch in den Sicherheitsrichtlinien von Ivanti empfohlen, um den Zugriff auf die Verwaltungsoberfläche des vTM strikt zu regulieren.

Proof-of-Concept bereits öffentlich verfügbar

Ein Proof-of-Concept (PoC) für diese Schwachstelle ist bereits öffentlich verfügbar, was die Dringlichkeit einer schnellen Patch-Installation unterstreicht. Obwohl bisher keine Fälle bekannt sind, in denen Kunden von dieser Schwachstelle ausgenutzt wurden, erhöht die Verfügbarkeit des PoC das Risiko eines Angriffs erheblich. Angreifer könnten gezielt nach ungepatchten Systemen suchen, um die Schwachstelle auszunutzen und sich Zugang zu den betroffenen Netzwerken zu verschaffen.

Ivanti bietet detaillierte Anweisungen zur Einschränkung des Zugriffs auf die Verwaltungsoberfläche, die es Administratoren ermöglichen, den Zugriff auf bestimmte IP-Adressen zu beschränken und so das Risiko einer Kompromittierung weiter zu reduzieren. Dies ist eine entscheidende Maßnahme, um die Angriffsfläche zu verkleinern, da der Verwaltungszugang des vTM standardmäßig über das Netzwerk erreichbar ist.

Kunden sollten zudem regelmäßig die Audit-Logs des vTM überprüfen, um festzustellen, ob unberechtigte Administratoren erstellt wurden. Ein Anzeichen für eine Kompromittierung könnte ein Eintrag im Audit-Log sein, bei dem ein Administrator-Benutzer ohne die üblichen Authentifizierungsinformationen hinzugefügt wurde. Solche Einträge könnten darauf hinweisen, dass ein Angreifer erfolgreich die Schwachstelle ausgenutzt hat.

Ivanti betont die Bedeutung eines umgehenden Updates auf die Versionen 22.2R1 oder 22.7R2, um die Sicherheit der Systeme zu gewährleisten. Für Kunden, die bereits ihre Verwaltungsoberfläche auf eine private IP-Adresse beschränkt haben, besteht die Möglichkeit, das Update zu einem geeigneten Zeitpunkt einzuspielen. Es wird jedoch dringend empfohlen, nicht länger als notwendig zu warten, da die Bedrohungslage durch die Veröffentlichung des PoC erhöht ist.

(ID:50133871)