Badan Keamanan Siber dan Infrastruktur AS (CISA) pada hari Selasa menambahkan kelemahan keamanan kritis yang memengaruhi Ivanti Virtual Traffic Manager (vTM) ke katalog Kerentanan Eksploitasi yang Diketahui (KEV), berdasarkan bukti eksploitasi aktif.
Kerentanan yang dimaksud adalah CVE-2024-7593 (skor CVSS: 9,8), yang dapat dimanfaatkan oleh penyerang jarak jauh yang tidak diautentikasi untuk melewati autentikasi panel admin dan menciptakan pengguna administratif jahat.
“Ivanti Virtual Traffic Manager mengandung kerentanan bypass autentikasi yang memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk membuat akun administrator pilihan,” kata CISA.
Masalah ini telah diperbaiki oleh Ivanti dalam versi vTM 22.2R1, 22.3R3, 22.5R2, 22.6R2, dan 22.7R2 pada bulan Agustus 2024.
Badan tersebut tidak mengungkapkan secara spesifik bagaimana kelemahan itu dijadikan senjata dalam serangan di dunia nyata dan siapa yang mungkin berada di baliknya, tetapi Ivanti sebelumnya telah mencatat bahwa bukti konsep (PoC) tersedia untuk umum.
Mengingat perkembangan terkini, badan-badan Cabang Eksekutif Sipil Federal (FCEB) diharuskan memperbaiki kelemahan yang teridentifikasi paling lambat tanggal 15 Oktober 2024 guna mengamankan jaringan mereka.
Dalam beberapa bulan terakhir, beberapa kelemahan yang memengaruhi perangkat Ivanti telah dieksploitasi secara aktif, termasuk CVE-2024-8190 dan CVE-2024-8963.
Penyedia layanan perangkat lunak tersebut mengakui bahwa mereka mengetahui “sejumlah kecil pelanggan” yang menjadi sasaran kedua masalah tersebut.
Data yang dibagikan oleh Censys menunjukkan bahwa ada 2.017 instansi Ivanti Cloud Service Appliance (CSA) yang terekspos secara online per 23 September 2024, yang sebagian besarnya berlokasi di AS. Saat ini tidak diketahui berapa banyak dari mereka yang sebenarnya rentan.
