Múltiples vulnerabilidades en productos Ivanti

Fecha de publicación 14/08/2024

Importancia

5 - Crítica

Recursos Afectados

Ivanti Virtual Traffic Manager (vTM), versiones:
- 22.2;
- 22.3;
- 22.3R2;
- 22.5R1;
- 22.6R1;
- 22.7R1.
Ivanti Neurons para ITSM, versiones:
- 2023.4;
- 2023.3;
- 2023.2.

Descripción

Ivanti ha publicado 3 vulnerabilidades, 2 de severidad crítica y 1 alta, que afectan a sus productos Virtual Traffic Manager y Neurons para ITSM. La explotación de estas vulnerabilidades podría permitir a un atacante omitir el proceso de autenticación, divulgar información sensible o realizar un ataque MitM.

Solución

Ivanti Virtual Traffic Manager (vTM), versiones:
- 22.2R1;
- 22.3R3 (disponible la semana del 19 de agosto);
- 22.5R2 (disponible la semana del 19 de agosto);
- 22.6R2 (disponible la semana del 19 de agosto);
- 22.7R2.
Ivanti Neurons para ITSM, versiones:
- parche para 2023.4;
- parche para 2023.3;
- parche para 2023.2.

Detalle

Las vulnerabilidades críticas se describen a continuación:

La implementación incorrecta de un algoritmo de autenticación en Ivanti vTM que no sea de las versiones 22.2R1 o 22.7R2, podría permitir a un atacante remoto, no autenticado, omitir la autenticación del panel de administración. Se ha asignado el identificador CVE-2024-7593 para esta vulnerabilidad.
Una vulnerabilidad de divulgación de información en Ivanti ITSM on-prem y Neurons para ITSM, en versiones 2023.4 y anteriores, podría permitir a un atacante no autenticado obtener la clave secreta del cliente OIDC (OpenID Connect) a través de la información de depuración. Se ha asignado el identificador CVE-2024-7569 para esta vulnerabilidad.

La vulnerabilidad alta tiene asignada el identificador CVE-2024-7570.

Listado de referencias

Security Advisory: Ivanti Virtual Traffic Manager (vTM ) (CVE-2024-7593)

Security Advisory: Ivanti Neurons for ITSM (CVE-2024-7569, CVE-2024-7570)

Etiquetas