Ivanti Virtual Traffic Manager 中存在严重缺陷，可能允许恶意管理员访问

Ivanti 推出了针对虚拟流量管理器 (vTM) 中一个严重漏洞的安全更新，该漏洞可被利用来绕过身份验证并创建恶意管理用户。
该漏洞的编号为 CVE-2024-7593，CVSS 评分为 9.8（满分 10.0）。
该公司在一份公告中表示：“Ivanti vTM 22.2R1 或 22.7R2 以外的版本中身份验证算法的错误实施允许未经身份验证的远程攻击者绕过管理面板的身份验证。”
它影响以下版本的 vTM -
22.2（已在 22.2R1 版本中修复）
22.3（已在 22.3R3 版本中修复，将于 2024 年 8 月 19 日当周推出）
22.3R2（已在 22.3R3 版本中修复，将于 2024 年 8 月 19 日当周推出）
22.5R1（已在 22.5R2 版本中修复，将于 2024 年 8 月 19 日当周推出）
22.6R1（已在 22.6R2 版本中修复，将于 2024 年 8 月 19 日当周推出）
22.7R1（已在 22.7R2 版本中修复）
作为临时缓解措施，Ivanti 建议客户限制管理员对管理界面的访问或限制对受信任 IP 地址的访问。

虽然没有证据表明该漏洞已被广泛利用，但它承认概念验证（PoC）已向公众开放，因此用户必须尽快应用最新的修复程序。
另外，Ivanti 还解决了Neurons for ITSM 中的两个缺陷，这两个缺陷可能会导致信息泄露，并导致任何用户未经授权访问设备 -
CVE-2024-7569（CVSS 评分：9.6）- Ivanti ITSM 本地版和 Neurons for ITSM 2023.4 及更早版本中存在信息泄露漏洞，允许未经身份验证的攻击者通过调试信息获取 OIDC 客户端机密
CVE-2024-7570（CVSS 评分：8.3）- Ivanti ITSM 本地部署和 Neurons for ITSM 版本 2023.4 及更早版本中的证书验证不当，允许处于 MITM 位置的远程攻击者制作令牌，以任何用户身份访问 ITSM
影响版本 2023.4、2023.3 和 2023.2 的问题已分别在版本 2023.4 w/ patch、2023.3 w/ patch 和 2023.2 w/ patch 中得到解决。
该公司还修补了 Ivanti Avalanche 中的五个高危漏洞（CVE-2024-38652、CVE-2024-38653、CVE-2024-36136、CVE-2024-37399 和 CVE-2024-37373），这些漏洞可被利用来造成拒绝服务 (DoS) 或远程代码执行。它们已在 6.4.4 版本中修复。