Exploit-Versuch auf Ivanti Virtual Traffic Manager-Lücke
Für die kritische Lücke in Ivantis Virtual Traffic Manager (vTM) wurde ein ein Missbrauchsversuch beobachtet. Alle Patches sind nun verfügbar.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Vergangene Woche wurde eine kritische Sicherheitslücke in Ivantis Virtual Traffic Manager (vTM) bekannt. Jetzt haben IT-Forscher einen Exploit-Versuch entdeckt, der auf einem öffentlich verfügbaren Proof-of-Concept-Exploit basiert. Admins sollten die Software zügig aktualisieren – es stehen inzwischen für alle unterstützten Versionen Aktualisierungen bereit.
Die Shadowserver Foundation hat auf X, ehemals Twitter, mitgeteilt, dass sie zwar recht wenige, offen im Internet zugreifbare Ivanti vTM-Geräte gefunden hat. Jedoch habe die Gruppierung am Samstag des vergangenen Wochenendes einen Missbrauchsversuch der Schwachstelle auf Basis eines öffentlich verfügbaren Proof-of-Concept-Exploits beobachtet.
Aktualisierte Sicherheitsmitteilung von Ivanti
Ivanti hat die Warnmeldung zu der kritischen Schwachstelle CVE-2024-7593 (CVSS 9.8, Risiko "kritisch") im Virtual Traffic Manager zudem aktualisiert. Das Leck ermöglicht Angreifern, die Authentifizierung zu umgehen und administrative Nutzer anzulegen und somit verwundbare Geräte zu übernehmen. Seit Montag dieser Woche stehen nun Patches für alle unterstützten Versionen bereit.
Die Lücken stopfen die Versionen Ivanti Virtual Traffic Manager 22.2R1, 22.3R3, 22.5R2, 22.6R2 sowie 22.7R2. Die seit Montag neu verfügbaren Versionen davon sind 22.3R3, 22.5R2 und 22.6R2. IT-Verantwortliche sollten die aktualisierte Software zügig installieren.
Auch in der aktualisierten Mitteilung schreibt Ivanti weiterhin, nichts von aktivem Missbrauch der Schwachstelle zu wissen. Allerdings gibt der Hersteller Hinweise, wie Admins mögliche Kompromittierung erkennen können. Etwa im "Audit Logs Output" finden sich demnach im schlimmsten Fall Hinweise, dass Nutzer der Gruppe Admin hinzugefügt wurden, jedoch ohne Einträge für USER, GROUP, AUTH oder IP.
In der vergangenen Woche hat Ivanti vor einigen Sicherheitslücken in mehreren Produkten gewarnt. Betroffen waren demnach Ivanti Avalanche, Neurons for ITSM oder Virtual Traffic Manager (vTM). Die Schwachstellen erlaubten Angreifern unter anderem, Systeme vollständig zu kompromittieren.
(dmk)