14 de agosto de 2024Ravie LakshmananVulnerabilidad / Seguridad de la red Ivanti ha lanzado actualizaciones de seguridad para una falla crítica en Virtual Traffic Manager (vTM) que podría explotarse para lograr una omisión de autenticación y crear usuarios administrativos no autorizados. La vulnerabilidad, identificada como CVE-2024-7593, tiene una puntuación CVSS de 9,8 sobre un máximo de 10,0. «La implementación incorrecta de un algoritmo de autenticación en Ivanti vTM que no sea la versión 22.2R1 o 22.7R2 permite que un atacante remoto no autenticado omita la autenticación del panel de administración», dijo la compañía en un aviso. Afecta a las siguientes versiones de vTM: 22.2 (corregido en la versión 22.2R1) 22.3 (corregido en la versión 22.3R3, disponible la semana del 19 de agosto de 2024) 22.3R2 (corregido en la versión 22.3R3, disponible la semana del 19 de agosto de 2024) 22.5R1 (corregido en la versión 22.5R2, disponible la semana del 19 de agosto de 2024) 22.6R1 (corregido en la versión 22.6R2, disponible la semana del 19 de agosto de 2024) 22.7R1 (corregido en la versión 22.7R2) Como mitigación temporal, Ivanti recomienda a los clientes limitar el acceso de administrador a la interfaz de administración o restringir el acceso a direcciones IP confiables. Si bien no hay evidencia de que la falla haya sido explotada, se reconoció la disponibilidad pública de una prueba de concepto (PoC), por lo que es esencial que los usuarios apliquen las últimas correcciones lo antes posible. Por otra parte, Ivanti también ha abordado dos deficiencias en Neurons para ITSM que podrían resultar en la divulgación de información y obtener acceso no autorizado a los dispositivos como cualquier usuario: CVE-2024-7569 (puntuación CVSS: 9,6): una vulnerabilidad de divulgación de información en Ivanti ITSM local y Neurons para ITSM versiones 2023.4 y anteriores permite que un atacante no autenticado obtenga el secreto del cliente OIDC a través de información de depuración CVE-2024-7570 (puntuación CVSS: 8,3): la validación de certificado incorrecta en Ivanti ITSM local y Neurons para ITSM versiones 2023.4 y anteriores permite que un atacante remoto en una posición MITM cree un token que permitiría el acceso a ITSM como cualquier usuario. Los problemas, que afectan a las versiones 2023.4, 2023.3 y 2023.2, se han resuelto en las versiones 2023.4 con parche. 2023.3 con parche y 2023.2 con parche, respectivamente. La empresa también ha parcheado cinco fallos de alta gravedad (CVE-2024-38652, CVE-2024-38653, CVE-2024-36136, CVE-2024-37399 y CVE-2024-37373) en Ivanti Avalanche que podrían explotarse para lograr una condición de denegación de servicio (DoS) o ejecución remota de código. Se han corregido en la versión 6.4.4. ¿Te ha parecido interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.