Détection de CVE-2024-7593 : Une Vulnérabilité Critique dans Ivanti Virtual Traffic Manager Permet un Accès Administrateur Non Autorisé
Table des matières :
Une nouvelle vulnérabilité critique dans Ivanti les instances de Virtual Traffic Manager (vTM) attire l’attention. Suivie sous le code CVE-2024-7593, la vulnérabilité critique de contournement de l’authentification permet aux attaquants distants de créer des comptes d’administrateur frauduleux. La disponibilité publique du code d’exploitation PoC augmente le risque d’exploitation de CVE-2024-7593 dans des attaques réelles.
Détecter les tentatives d’exploitation de CVE-2024-7593
En 2023, plus de 30 000 nouvelles vulnérabilités ont été découvertes. Ce chiffre a explosé de 41 % en 2024, soulignant l’importance critique de la détection proactive des vulnérabilités en tant que priorité majeure en cybersécurité. La dernière vulnérabilité sous les projecteurs, qui constitue une menace significative pour les défenseurs du cyberespace, est un contournement d’authentification critique dans le vTM d’Ivanti (CVE-2024-7593) qui permet aux attaquants distants de créer des comptes administrateur pour mener des activités malveillantes.
Pour identifier à temps les tentatives d’exploitation de CVE-2024-7593, les professionnels de la sécurité pourraient s’appuyer sur la plateforme SOC Prime pour une défense cybernétique collective en agrégeant du contenu de détection sélectionné accompagné de solutions avancées de détection et de chasse aux menaces.
Cette règle, créée par notre développeur Threat Bounty Wirapong Petshagun détecte les modèles d’URL utilisés pour exploiter la vulnérabilité de contournement d’authentification dans Ivanti (CVE-2024-7593). La règle est compatible avec 21 solutions SIEM, EDR et Data Lake et est mappée au cadre MITRE ATT&CK abordant les tactiques d’Accès Initial avec Exploit Public-Facing Applications (T1190) en tant que technique correspondante.
Désireux de rejoindre l’initiative de crowdsourcing de SOC Prime ? Les praticiens de la cybersécurité qualifiés cherchant à enrichir leurs compétences en ingénierie de détection et chasse aux menaces peuvent rejoindre les rangs de notre programme Threat Bounty pour apporter leur propre contribution à l’expertise collective de l’industrie. La participation au programme permet aux auteurs de contenu de détection de monétiser leurs compétences professionnelles tout en aidant à construire un avenir numérique plus sûr.
Les professionnels de la sécurité à la recherche de contenu de détection encore plus sélectionné pour traiter les tentatives d’exploitation de vulnérabilités peuvent accéder à la sélection de détection pertinente en appuyant sur le Explorer les Détections bouton ci-dessous ou simplement en parcourant le marché de la détection de menaces en utilisant le tag “CVE”.
Analyse de CVE-2024-7593
Ivanti a récemment corrigé une nouvelle vulnérabilité critique de contournement d’authentification dans ses appliances vTM. L’exploitation de la faille de sécurité identifiée sous CVE-2024-7593, avec un score CVSS de 9.8, donne aux attaquants distants la liberté de contourner l’authentification sur les panneaux d’administration vTM accessibles publiquement.
La faille affecte plusieurs versions de vTM sauf les versions 22.2R1 et 22.7R2. Bien qu’il n’y ait pas encore de preuves d’exploitation de CVE-2024-7593 dans la nature, la publication publique du code PoC expose les clients utilisant potentiellement des instances vTM impactées à des risques croissants.
Pour minimiser l’impact, Ivanti recommande fortement de mettre à jour en urgence vers la dernière version corrigée. Comme mesures de mitigation à court terme pour CVE-2024-7593, le vendeur conseille de restreindre l’accès administrateur à l’interface de gestion ou de limiter l’accès aux adresses IP de confiance.
Le paysage des menaces actuel exige des moyens plus avancés pour contrecarrer les menaces émergentes qui continuent d’augmenter en sophistication. Pour réduire les risques d’exploitation des vulnérabilités, les organisations de premier plan s’efforcent de faire évoluer leurs opérations de sécurité à grande échelle. Tirer parti de Attack Detective de SOC Prime aide les équipes de sécurité à réduire significativement la surface d’attaque en constante augmentation, à élever la visibilité des menaces et à adresser les angles morts de la défense cybernétique, à accéder à la pile de détection priorisée pour une alerte à haute fidélité, ou à adopter une capacité de chasse aux menaces automatisée.
