Detección de CVE-2024-7593: Una Vulnerabilidad Crítica en Ivanti Virtual Traffic Manager Permite Acceso No Autorizado de Administrador

Una nueva vulnerabilidad crítica en Ivanti Las instancias de Virtual Traffic Manager (vTM) se ponen en el punto de mira. Rastreadas como CVE-2024-7593, la vulnerabilidad crítica de omisión de autenticación permite a atacantes remotos crear cuentas de administrador falsas. La disponibilidad pública del código de exploit PoC aumenta el riesgo de explotación del CVE-2024-7593 en ataques del mundo real.

Detectar Intentos de Explotación de CVE-2024-7593

En 2023, se descubrieron más de 30,000 nuevas vulnerabilidades. Esta cifra se disparó en un 41% en 2024, subrayando la importancia crítica de la detección proactiva de vulnerabilidades como una de las principales prioridades de ciberseguridad. La última vulnerabilidad destacada que causa una amenaza significativa para los defensores cibernéticos es una omisión de autenticación crítica en vTM de Ivanti (CVE-2024-7593) que permite a los atacantes remotos crear cuentas de administrador para proceder con actividades maliciosas.

Para identificar posibles intentos de explotación de CVE-2024-7593 a tiempo, los profesionales de seguridad podrían confiar en SOC Prime Platform para la defensa cibernética colectiva, agregando contenido de detección seleccionado acompañado de soluciones avanzadas de detección y búsqueda de amenazas. 

Posible Intento de Explotación de Omisión de Autenticación de Ivanti (CVE-2024-7593) (a través del servidor web)

Esta regla, creada por nuestro desarrollador de Threat Bounty, Wirapong Petshagun detecta patrones de URL utilizados para explotar vulnerabilidades de omisión de autenticación en Ivanti (CVE-2024-7593). La regla es compatible con 21 soluciones SIEM, EDR y Data Lake y está mapeada al marco MITRE ATT&CK abordando tácticas de Acceso Inicial con Exploit Public-Facing Applications (T1190) como técnica correspondiente. 

¿Ansioso por unirse a la iniciativa de crowdsourcing de SOC Prime? Los profesionales de ciberseguridad capacitados que buscan enriquecer sus habilidades de Ingeniería de Detección y Caza de Amenazas pueden unirse a las filas de nuestro Programa de Recompensa por Amenazas para hacer su propia contribución a la experiencia colectiva de la industria. La participación en el Programa permite a los autores de contenido de detección monetizar sus habilidades profesionales mientras ayudan a construir un futuro digital más seguro.

Los profesionales de seguridad que buscan más contenido de detección seleccionado que aborde intentos de explotación de vulnerabilidades pueden acceder al stack de detección relevante presionando el botón Explorar Detecciones a continuación o simplemente navegando por el Marketplace de Detección de Amenazas usando la etiqueta “CVE”. 

Explorar Detecciones

Análisis de CVE-2024-7593

Ivanti ha parcheado recientemente una nueva vulnerabilidad crítica de omisión de autenticación en sus dispositivos vTM. La explotación de la vulnerabilidad de seguridad identificada como CVE-2024-7593, con una puntuación CVSS de 9.8, da luz verde a los atacantes remotos para omitir la autenticación en paneles administrativos de vTM accesibles públicamente.

La falla afecta a varias versiones de vTM, excepto a las 22.2R1 y 22.7R2. Aunque no ha habido evidencia de explotación de CVE-2024-7593 en la naturaleza, la publicación pública del código PoC expone a los clientes que operan instancias vTM potencialmente afectadas a riesgos crecientes. 

Para minimizar el impacto, Ivanti recomienda encarecidamente actualizar urgentemente a la última versión parcheada. Como medidas de mitigación a corto plazo de CVE-2024-7593, el proveedor aconseja restringir el acceso de administrador a la interfaz de gestión o limitar el acceso a direcciones IP de confianza.

El panorama de amenazas actual exige maneras más avanzadas de frustrar amenazas emergentes que están aumentando continuamente en sofisticación. Para reducir los riesgos de explotación de vulnerabilidades, las organizaciones de primer nivel están esforzándose por evolucionar sus operaciones de seguridad a escala. Aprovechar Attack Detective de SOC Prime ayuda a los equipos de seguridad a reducir significativamente la superficie de ataque en constante crecimiento, aumentar la visibilidad de amenazas y abordar puntos ciegos en la defensa cibernética, obtener acceso al stack de detección priorizada para alertas de alta fidelidad, o adoptar una capacidad automatizada de caza de amenazas.