美国网络安全和基础设施安全局 （CISA） 将 Ivanti Virtual Traffic Manager 身份验证绕过漏洞 CVE-2024-7593（CVSS 评分为 9.8）添加到其已知利用漏洞 （KEV） 目录中。

2024 年 8 月中旬，Ivanti 解决了影响 Virtual Traffic Manager （vTM） 设备的漏洞 CVE-2024-7593，该漏洞允许攻击者创建恶意管理员帐户。

Ivanti vTM （Virtual Traffic Manager） 是一款基于软件的流量管理解决方案，旨在优化和保护应用程序交付。

“成功利用此漏洞可能导致绕过身份验证并创建管理员用户。”该软件公司发布的公告中写道。“在 Ivanti vTM 中，除 22.2R1 或 22.7R2 版本外，身份验证算法的实施不正确，则允许未经身份验证的远程攻击者绕过管理面板的身份验证。”

该漏洞是由于身份验证算法的实现不正确造成的，该算法允许未经身份验证的远程攻击者绕过面向 Internet 的 vTM 管理控制台上的身份验证。

该公司通过发布补丁 22.2R1（2024 年 3 月 26 日发布）或 22.7R2（2024 年 5 月 20 日发布）解决了该漏洞。该公司解释说，将其管理界面指向私有 IP 并限制访问的客户可以尽早解决这个问题。

Ivanti 表示，它不知道有攻击在野外利用此漏洞，但它知道概念验证漏洞利用代码的公开可用性。

“在披露时，我们不知道有任何客户被此漏洞利用。但是，概念验证是公开可用的，我们敦促客户升级到最新的修补版本“公告继续说道。

为了限制此漏洞的可利用性，Ivanti 建议通过专用/公司网络限制对网络内部管理界面的管理员访问权限。

以下是公司提供的说明：

1. 在 VTM 服务器上，导航到 System > Security，然后单击页面

2 的 Management IP Address and Admin Server Port 部分的下拉列表。在 bindip 下拉列表中，选择 Management Interface IP Address。作为另一种选择，客户还可以利用“bindip”设置正上方的设置来限制对受信任 IP 地址的访问，从而进一步限制谁可以访问该界面。

根据具有约束力的操作指令 （BOD） 22-01：降低已知被利用漏洞的重大风险，FCEB 机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录中缺陷的攻击。

专家还建议私营组织查看 Catalog 并解决其基础设施中的漏洞。

CISA 命令联邦机构在 2024 年 10 月 15 日之前修复此漏洞。