ADVERTENCIA: SE ENCONTRARON VULNERABILIDADES CRÍTICAS Y DE ALTA GRAVEDAD EN MÚLTIPLES PRODUCTOS IVANTI
Software afectado:
Gestor de tráfico virtual de Ivanti (vTM)
Neuronas de Ivanti para la gestión de servicios de TI (ITSM)
Avalancha Ivanti
Tipo:
Múltiples: autenticación incorrecta, implementación incorrecta del algoritmo de autenticación, inserción de información confidencial en el código de depuración, almacenamiento inseguro de información confidencial, validación incorrecta del certificado
CVE/CVSS:
Gestor de tráfico virtual de Ivanti (vTM):
- CVE-2024-7593: 9.8 CRÍTICO (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Neuronas Ivanti para la gestión de servicios de TI (ITSM):
- CVE-2024-7569: 9.6 CRÍTICO (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)
- CVE-2024-7570: 8.3 ALTO (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)
Avalancha de Ivanti:
- CVE-2024-38652: 8.2 ALTA (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H)
- CVE-2024-38653: 8.2 ALTA (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L)
- CVE-2024-36136: 7,5 ALTA (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
- CVE-2024-37399: 7,5 ALTA (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
- CVE-2024-37373: 7.2 ALTA (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
Fuentes
Asesoramiento a proveedores Ivanti vTM: https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Virtual-Traffic-Manager-vTM-CVE-2024-7593
Asesoramiento a proveedores Ivanti Neurons para ITSM: https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Neurons-for-ITSM-CVE-2024-7569-CVE-2024-7570
Asesoramiento a proveedores Ivanti Avalanche: https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Avalanche-6-4-4-CVE-2024-38652-CVE-2024-38653-CVE-2024-36136-CVE-2024- 37399-CVE-2024-37373
Riesgos
Ivanti ha parcheado vulnerabilidades críticas y de alta gravedad en 3 de sus productos:
- Gestor de tráfico virtual de Ivanti (vTM):
La explotación de esta vulnerabilidad CVE-2024-7593 podría permitir a un atacante eludir la autenticación y crear un usuario administrador, lo que daría lugar a un acceso no autorizado al panel de administración. Esto supone una grave amenaza, ya que puede dar lugar a un ataque completo del sistema, lo que permitiría al atacante ver datos confidenciales, alterar las configuraciones del sistema e interrumpir las operaciones normales de Ivanti vTM, lo que afectaría gravemente a la confidencialidad, la integridad y la disponibilidad. - Neuronas de Ivanti para la gestión de servicios de TI (ITSM):
La explotación de las vulnerabilidades CVE-2024-7569 y CVE-2024-7570 podría permitir que un atacante no autenticado divulgue información confidencial, como el secreto del cliente OIDC, y obtenga acceso no autorizado al sistema ITSM con los privilegios de cualquier usuario. Esta grave vulneración amenaza la seguridad del sistema, lo que puede provocar un acceso no autorizado a los datos, la alteración de la configuración del sistema y la interrupción de los servicios ITSM, lo que afecta significativamente a la confidencialidad, la integridad y la disponibilidad. - Avalancha Ivanti:La explotación exitosa podría resultar en la ejecución remota de código. Estas vulnerabilidades tienen un gran impacto en la confidencialidad, integridad y disponibilidad.
El riesgo más crítico es la explotación de CVE-2024-7593 en Ivanti Virtual Traffic Manager (vTM).
El Centro de Ciberseguridad de Bélgica (CCB) recomienda a los administradores de sistemas que apliquen parches a los sistemas vulnerables lo antes posible y que sigan las medidas adicionales recomendadas por el proveedor. Analice los registros del sistema y de la red para detectar cualquier actividad sospechosa. Este informe contiene instrucciones para ayudar a su organización.
Descripción
El proveedor solucionó varias vulnerabilidades.
- Autenticación incorrecta e implementación incorrecta del algoritmo de autenticación (CVE- 2024-7593) – La implementación incorrecta de un algoritmo de autenticación en Ivanti vTM que no sea la versión 22.2R1 o 22.7R2 permite que un atacante remoto no autenticado evite la autenticación del panel de administración.
- Inserción de información confidencial en código de depuración y almacenamiento inseguro de información confidencial (CVE-2024-7569) – Una vulnerabilidad de divulgación de información en Ivanti ITSM local y Neurons para ITSM versiones 2023.4 y anteriores permite que un atacante no autenticado obtenga el secreto del cliente OIDC a través de información de depuración.
- Validación incorrecta de certificados (CVE-2024-7570) – La validación de certificados incorrecta en Ivanti ITSM local y Neurons para ITSM versiones 2023.4 y anteriores permite que un atacante remoto en una posición MITM cree un token que permitiría el acceso a ITSM como cualquier usuario.
- Recorrido de ruta en el componente de administración de aspectos de Ivanti Avalanche 6.3.1 permite que un atacante remoto no autenticado logre la denegación de servicio a través de la eliminación arbitraria de archivos (CVE-2024-38652).
- XXE en SmartDeviceServer en Ivanti Avalanche 6.3.1 permite que un atacante remoto no autenticado lea archivos arbitrarios en el servidor (CVE-2024-38653).
- Un error de uno en uno en WLInfoRailService en Ivanti Avalanche 6.3.1 permite que un atacante remoto no autenticado bloquee el servicio, lo que resulta en un DoS (CVE-2024-36136).
- A Desreferencia de puntero NULL en WLAvalancheService en Ivanti Avalanche 6.3.1 permite que un atacante remoto no autenticado bloquee el servicio, lo que resulta en un DoS (CVE-2024-37399).
- Validación de entrada incorrecta en el almacén de archivos central en Ivanti Avalanche 6.3.1 permite que un atacante remoto autenticado con derechos de administrador logre RCE (CVE-2024-37373).
Las versiones parcheadas están disponibles en el sitio web del proveedor (consulte las URL en las referencias).
Acciones recomendadas
Parche
El Centro de Ciberseguridad de Bélgica recomienda encarecidamente instalar actualizaciones para dispositivos vulnerables con la máxima prioridad, después de realizar pruebas exhaustivas.
La última versión del producto involucrado se puede encontrar en su sitio web (ver URL en las referencias).
Monitorizar/Detectar
El CCB recomienda que las organizaciones mejoren las capacidades de monitoreo y detección para identificar cualquier actividad sospechosa relacionada, asegurando una respuesta rápida en caso de una intrusión.
En caso de intrusión, puedes reportar un incidente a través de: https://cert.be/es/reportar-incidente
Si bien la instalación de parches para dispositivos o software a la versión más reciente puede brindar seguridad frente a futuros problemas,
La explotación no remedia el compromiso histórico.
Referencias
Asesoramiento a proveedores Ivanti vTM: https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Virtual-Traffic-Manager-vTM-CVE-2024-7593
Asesoramiento a proveedores Ivanti Neurons para ITSM: https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Neurons-for-ITSM-CVE-2024-7569-CVE-2024-7570
Asesoramiento a proveedores Ivanti Avalanche: https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Avalanche-6-4-4-CVE-2024-38652-CVE-2024-38653-CVE-2024-36136-CVE-2024- 37399-CVE-2024-37373