Агентство кибербезопасности и инфраструктуры безопасности США (CISA) в очередной раз подняло тревогу, добавив в свой каталог известных эксплуатируемых уязвимостей (KEV) критическую проблему безопасности, затрагивающую Ivanti Virtual Traffic Manager (vTM). Речь идет о CVE-2024-7593, получившей оценку CVSS 9,8 - это значит, что уязвимость считается крайне опасной и способна нанести серьезный ущерб.
Суть проблемы заключается в том, что злоумышленник, даже не прошедший аутентификацию, может обойти систему защиты и получить доступ к панели администратора vTM. Это позволяет ему создавать фиктивные учетные записи с правами администратора, получая полный контроль над устройством.
Незаконное проникновение в систему vTM может привести к хищению данных, перехвату трафика, несанкционированному доступу к чувствительной информации и даже к полной потере контроля над сетью.
Злоумышленники могут использовать доступ к vTM для запуска вредоносных программ, дискредитации сети, а также для проведения DDoS-атак.
Ivanti выпустила исправления для уязвимости в версиях vTM 22.2R1, 22.3R3, 22.5R2, 22.6R2 и 22.7R2. Немедленная установка обновления является критическим шагом для защиты системы от атак.
CISA рекомендует усилить защиту своих сетей, внедрить многофакторную аутентификацию (MFA) и регулярно проводить аудиты безопасности.
CISA пока не раскрывает деталей об атаках с использованием CVE-2024-7593, но известно, что Ivanti ранее подтвердила наличие в свободном доступе эксплойта (PoC), позволяющего использовать уязвимость. В свете этого информация о том, что федеральные агентства США (FCEB) обязаны устранить проблему до 15 октября 2024 года, подчеркивает серьезность ситуации.
Следует обратить внимание на то, что CVE-2024-7593 - не единственная уязвимость, эксплуатируемая в отношении Ivanti. CVE-2024-8190 и CVE-2024-8963 также были обнаружены и уже использовались в атаках, что указывает на растущую тенденцию к атакам на продукты Ivanti.
По состоянию на 23 сентября 2024 года Censys зафиксировала 2017 устройств Ivanti vTM, доступных из сети Интернет. Это значит, что существуют тысячи систем, потенциально уязвимых для атак.