【安全圈】针对 Ivanti vTM 关键漏洞的 PoC 攻击代码已发布

文章预览

关键词 安全漏洞 Ivanti 解决了一个严重身份验证绕过漏洞，该漏洞被跟踪为 CVE-2024-7593（CVSS 评分为 9.8），该漏洞会影响虚拟流量管理器 （vTM） 设备，该设备可能允许攻击者创建流氓管理员帐户。 Ivanti vTM （Virtual Traffic Manager） 是一种基于软件的流量管理解决方案，旨在优化和保护应用程序交付。 “成功利用此漏洞可导致绕过身份验证并创建管理员用户，”该软件公司发布的 公告 中写道。“在 Ivanti vTM 22.2R1 或 22.7R2 版本以外的版本中不正确地实施身份验证算法，允许未经身份验证的远程攻击者绕过管理员面板的身份验证。” 该漏洞是由于身份验证算法的错误实现造成的，该算法允许未经身份验证的远程攻击者绕过面向 Internet 的 vTM 管理员控制台上的身份验证。 该公司通过发布补丁 22.2R1（2024 年 3 月 26 日发布）或 22.7R2（2024 年 5 月 20 日发布） ………………………………