Ivanti waarschuwt voor kritieke kwetsbaarheden in vTM en Neurons

Drie kwetsbaarheden voor de prijs van één

ivanti

Ivanti noopt zijn klanten van Virtual Traffic Manager en Neurons aan om de laatste updates uit te voeren. Die bevatten nodige patches voor kritieke kwetsbaarheden.

Ivanti communiceert over drie kwetsbaarheden in enkele van zijn producten. Het gaat om een kwetsbaarheid in Virtual Traffic Manager (vTM) en Neurons. De drie kwetsbaarheden krijgen een CVSS-score van 8,3 (hoog) tot 9,8 (kritiek). Patchen is dus de boodschap.

vTM

Ivanti vTM is een softwaredienst voor app-centrisch verkeersbeheer, om onder meer de belasting van bedrijfskritische applicaties te beheren. De kwetsbaarheid stelt aanvallers in staat om authenticatie te omzeilen en zichzelf adminrechten toe te kennen. Volgens Ivanti zijn er nog geen wijzigingen dat de kwetsbaarheid actief wordt uitgebuit, maar het raadt klanten aan dat niet af te wachten en nu actie te ondernemen.

Een patch is beschikbaar voor versies 22.2 en 22.7R1. Wie op een andere versie zit, moet nog even wachten tot 19 augustus. In afwachting raadt Ivanti af om de toegang tot vTM te beperken tot het interne netwerk of gekende IP-adressen, zodat onbekende gebruikers geen kans om van buitenaf contact te leggen.

Het bedrijf adviseert ook om in de logs van vTM te speuren naar mogelijke verdachte aanmeldingen. Zijn er onlangs nieuwe adminaccounts met gebruikersnamen user1 of user2, dan kan dat een slecht teken aan de wand zijn.

Neurons

De twee andere kwetsbaarheden zijn te vinden in Ivanti ITSM en Neurons, oplossingen voor (on-prem) IT-beheer. CVE-2024-7570 staat gelabeld als een kwetsbaar met hoge ernst, CVE-2024-7569 krijgt het label ‘kritiek’ opgeplakt.

Ook deze kwetsbaarheden omzeilen de ingebouwde authenticatie, door ofwel een token aan te laten maken of de OpenID Connect-client los te peuteren uit debug-informatie. Een patch is beschikbaar.

Ivanti is de voorbije maanden regelmatig in het nieuws gekomen met ernstige kwetsbaarheden. Een zeroday in de VPN-dienst van het bedrijf maakte wereldwijd slachtoffers. Het bedrijf kreeg kritiek omdat er laat bij was met patches uit te rollen. De CEO moest publiekelijk mea culpa slaan en Ivanti beloofde zijn beveiligingsmodel ‘fundamenteel te transformeren’.

lees ook

Crowdstrike CTO aanvaardt ‘Most Epic Fail’-trofee op hackerconferentie Def Con

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.