Ivanti invite ses clients Virtual Traffic Manager et Neurons à exécuter les dernières mises à jour. Elles contiennent les correctifs nécessaires pour remédier à des vulnérabilités critiques.
Ivanti informe que certains de ses produits présentent trois vulnérabilités. Il s’agit notamment d’une vulnérabilité dans Virtual Traffic Manager (vTM) et Neurons. Les trois vulnérabilités ont reçu un score CVSS de 8,3 (élevé) à 9,8 (critique). La dévise : appliquer des correctifs.
vTM
Ivanti vTM est un service logiciel de gestion du trafic centré sur les applications qui permet, entre autres, de gérer la charge des applications critiques de l’entreprise. La vulnérabilité permet aux attaquants de contourner l’authentification et de se donner des droits d’administrateur. Selon Ivanti, rien n’indique pour l’instant que la vulnérabilité soit activement exploitée, mais l’entreprise conseille à ses clients de ne pas attendre et de prendre des mesures dès maintenant.
Il existe un correctif pour les versions 22.2 et 22.7R1. Pour les autres versions, il faudra attendre le 19 août. Entre-temps, Ivanti conseille de limiter l’accès à vTM au réseau interne ou aux adresses IP connues, afin que les utilisateurs inconnus ne puissent pas se connecter de l’extérieur.
L’entreprise conseille également de rechercher dans les journaux de vTM d’éventuelles connexions suspectes. Si de nouveaux comptes d’administrateur avec les noms d’utilisateur user1 ou user2 ont été créés récemment, cela peut être un mauvais signe.
Neurones
Les deux autres vulnérabilités se trouvent dans Ivanti ITSM et Neurons, des solutions de gestion informatique (sur site). La vulnérabilité CVE-2024-7570 est qualifiée de haute gravité, tandis que la vulnérabilité CVE-2024-7569 est qualifiée de critique.
Ces vulnérabilités contournent également l’authentification intégrée, en autorisant la création d’un jeton ou en permettant au client OpenID Connect de recueillir des informations de débogage. Un correctif est disponible.
Ces derniers mois, Ivanti a régulièrement fait parler d’elle en raison de graves vulnérabilités. Un « zero day » dans le service VPN de la société a fait des victimes dans le monde entier. L’entreprise a été reprochée d’avoir tardé à déployer des correctifs. Le PDG a dû publiquement exprimer sa culpabilité et Ivanti a promis de « transformer fondamentalement » son modèle de sécurité.