Beveiligingsadvies NCSC-2024-0340 [1.00] [M/H] Kwetsbaarheid verholpen in Ivanti Virtual Traffic Manager

Kwetsbaarheid Verholpen in Ivanti Virtual Traffic Manager

Overzicht

Ivanti heeft een kwetsbaarheid in hun Virtual Traffic Manager (VTM) opgelost. Deze pagina presenteert een overzicht van dit beveiligingsadvies, waarbij essentiële details worden benadrukt en verduidelijkt.

Let op: Deze pagina bevat een geautomatiseerde HTML-weergave van officiële advisories. Voor de meest betrouwbare informatie zijn de gesigneerde PGP-versies essentieel.

Publicatie Kans Schade
vandaag medium high Signed PGP → CSAF → PDF vandaag

Kenmerken

De kwetsbaarheid in Ivanti VTM heeft de volgende kenmerken:

  • Incorrecte Implementatie van Authenticatie-Algoritme
  • Onjuiste Authenticatie

Omschrijving

Ivanti heeft een kwetsbaarheid in de Virtual Traffic Manager ontdekt en verholpen. Een aanvaller kan deze kwetsbaarheid misbruiken om de authenticatie op de management-interface te omzeilen, wat hen in staat stelt een beheerdersaccount aan te maken. Hiermee kan de aanvaller volledige controle over het systeem krijgen. Voor een succesvolle exploit moet de aanvaller toegang hebben tot de management-interface. Het is aanbevolen om dergelijke interfaces niet publiek toegankelijk te maken, maar te segmenteren in een aparte beheeromgeving.

Bereik

De kwetsbaarheid betreft de volgende:

  • Platforms: Ivanti VTM
  • Producten: Ivanti Virtual Traffic Manager
  • Versies: 22.2r0 – 22.7r1

Oplossingen

Ivanti heeft updates uitgebracht om deze kwetsbaarheid te verhelpen. Raadpleeg de onderstaande link voor meer informatie:

CVE’s

De kwetsbaarheid is toegewezen aan:

Door gebruik te maken van deze security advisory gaat u akkoord met onderstaande voorwaarden:

  • Hoewel het NCSC zich maximaal heeft ingespannen voor de nauwkeurigheid en volledigheid van dit beveiligingsadvies, kunnen zij niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit advies.
  • De informatie in dit beveiligingsadvies is uitsluitend bedoeld voor algemene informatiedoeleinden voor professionele partijen. Er kunnen geen rechten worden ontleend aan de informatie in dit advies.
  • Het NCSC en de Staat zijn niet aansprakelijk voor enige schade voortvloeiend uit het gebruik of de onmogelijkheid van gebruik van dit advies, inclusief schade als gevolg van onjuistheden of onvolledigheden.
  • Dit beveiligingsadvies valt onder Nederlands recht, en alle geschillen zullen worden voorgelegd aan de exclusief bevoegde rechter in Den Haag, inclusief de voorzieningenrechter in kort geding.

Voor meer informatie en downloads, zie de links in de tabel hierboven.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----