CVE-2024-7593

Суть уязвимости

CVE-2024-7593 представляет собой критическую уязвимость обхода аутентификации (Authentication Bypass) в Ivanti Virtual Traffic Manager (vTM). Проблема вызвана некорректной проверкой данных в алгоритме аутентификации, что позволяет удаленному неавторизованному злоумышленнику создать учетную запись администратора с полными правами доступа через интерфейс управления. Уязвимости присвоен рейтинг CVSS 9.8 (Critical), так как она не требует взаимодействия с пользователем и позволяет полностью скомпрометировать устройство.

Как исправить

Основным способом устранения уязвимости является обновление программного обеспечения Ivanti vTM до исправленной версии. Необходимо установить соответствующие патчи для используемой ветки продукта.

1. Скачайте исправленную версию образа или патча с портала Ivanti (Standard Download Portal).
2. Установите обновление в соответствии с версией вашей системы:
3. Если вы используете версию 22.2, обновитесь до 22.2R1.
4. Если вы используете версию 22.3, обновитесь до 22.3R2.
5. Если вы используете версию 22.5, обновитесь до 22.5R1.
6. Если вы используете версию 22.6, обновитесь до 22.6R1.
7. Если вы используете версию 22.7, обновитесь до 22.7R1.

Команда для проверки текущей версии ПО:

z-version -v

Временные меры

Если немедленное обновление невозможно, необходимо ограничить поверхность атаки, заблокировав доступ к интерфейсу управления (Management Interface) для внешних сетей.

1. Ограничьте доступ к интерфейсу управления (по умолчанию порт 9090), разрешив подключения только с доверенных внутренних IP-адресов или через защищенный VPN-канал.

2. Настройте привязку интерфейса управления к внутреннему (Private) IP-адресу или интерфейсу Loopback.

3. Проверьте наличие подозрительных учетных записей администраторов в системе:

z-admin-user-list

1. Проверьте логи аудита на предмет необычных событий создания пользователей или несанкционированного входа:

cat /usr/local/zeus/zxtm/log/audit