Sep 25, 2024
sysbraykr.com news - Pendahuluan
Kerentanan bypass autentikasi kritis yang dilacak sebagai CVE-2024–7593 (dengan skor CVSS 9.8) pada Ivanti Virtual Traffic Manager (vTM) kini menjadi lebih mudah dieksploitasi karena adanya kode proof-of-concept (PoC) yang dipublikasikan secara terbuka. Celah ini memungkinkan penyerang jarak jauh yang tidak terautentikasi untuk mendapatkan kendali administratif penuh pada perangkat vTM yang rentan.
Ivanti vTM adalah pengontrol pengiriman aplikasi berbasis perangkat lunak yang banyak digunakan untuk mengelola dan menyeimbangkan lalu lintas bagi layanan bisnis yang sangat penting. vTM memastikan ketersediaan tinggi, kinerja optimal, dan keamanan bagi aplikasi web.
Deskripsi CVE-2024–7593
Kerentanan CVE-2024–7593 merupakan masalah serius terkait bypass autentikasi yang disebabkan oleh implementasi algoritma autentikasi yang salah. Kerentanan ini memungkinkan penyerang dari jarak jauh dan tanpa autentikasi untuk melewati mekanisme autentikasi pada panel admin vTM yang terekspos di internet. Setelah celah ini dieksploitasi, penyerang bisa mendapatkan akses administratif tanpa izin, yang dapat mengakibatkan kompromi seluruh perangkat vTM.
Referensi: Dokumentasi keamanan mengenai CVE dapat ditemukan di berbagai platform seperti NVD atau CVE Details:
Langkah Respons Ivanti
Ivanti, sebagai perusahaan di balik vTM, telah merilis advisori keamanan yang menyoroti betapa seriusnya situasi ini. Dalam pernyataan resminya, Ivanti menyatakan, “Kami belum mengetahui adanya pelanggan yang dieksploitasi melalui kerentanan ini pada saat pengungkapan. Namun, karena kode Proof of Concept tersedia secara publik, kami mendesak pelanggan untuk segera meng-upgrade ke versi terbaru yang telah diperbaiki.”
Perbaikan tersebut mencakup beberapa versi vTM yang terdampak, antara lain:
Versi 22.2R1
Versi 22.3R3
Versi 22.5R2
Versi 22.6R2
Versi 22.7R2
Pengguna vTM disarankan untuk segera memeriksa dokumentasi pembaruan dan memastikan sistem mereka diperbarui. Informasi lebih lanjut terkait patch dan pembaruan dapat diakses di situs resmi Ivanti:
Eksploitasi Publik dan Pengujian
Tiga peneliti keamanan, Michael Heinzl, mxalias, dan ohnoisploited, telah merilis modul Metasploit yang mengotomatisasi proses eksploitasi CVE-2024–7593. Ini membuat eksploitasi menjadi lebih mudah bagi aktor jahat, terutama pada sistem yang belum di-patch. Peneliti dari SecurityOnline telah menguji dan mengonfirmasi efektivitas eksploit ini, yang semakin menekankan pentingnya tindakan segera.
Modul Metasploit memungkinkan eksploitasi otomatis dengan sangat efisien. Hal ini mempermudah siapa pun yang berniat jahat untuk mengeksploitasi kerentanan ini pada sistem yang belum diperbarui. Panduan terkait penggunaan Metasploit dapat ditemukan di banyak sumber belajar keamanan seperti Metasploit Unleashed yang bisa diakses melalui:
Tindakan Pencegahan Tambahan
Selain menerapkan patch, Ivanti menyarankan administrator untuk mengambil tindakan pencegahan tambahan dengan membatasi akses ke antarmuka manajemen vTM. Langkah-langkah yang direkomendasikan meliputi:
Membatasi akses antarmuka manajemen ke jaringan internal atau alamat IP pribadi untuk meminimalkan eksposur ke internet dan mengurangi permukaan serangan.
Memeriksa log audit untuk mendeteksi aktivitas mencurigakan, seperti pembuatan pengguna admin baru seperti ‘user1’ atau ‘user2’, yang bisa menjadi indikator upaya eksploitasi menggunakan kode eksploit publik.
Langkah ini penting untuk memastikan bahwa eksposur sistem terhadap serangan lebih lanjut dapat diminimalkan. Artikel-artikel terkait mitigasi risiko akses jaringan dapat ditemukan di platform seperti OWASP:
Risiko Eksploitasi di Dunia Nyata
Walaupun Ivanti belum mendeteksi eksploitasi nyata terhadap CVE-2024–7593, ketersediaan kode proof-of-concept di domain publik secara signifikan meningkatkan risiko. Organisasi yang menggunakan Ivanti Virtual Traffic Manager sangat dianjurkan untuk segera mengaplikasikan patch yang tersedia dan mengimplementasikan langkah-langkah keamanan yang disarankan untuk melindungi sistem mereka.
Kesimpulan
CVE-2024–7593 adalah kerentanan bypass autentikasi yang sangat serius pada Ivanti vTM. Ketersediaan kode eksploitasi publik membuatnya menjadi ancaman nyata, terutama bagi sistem yang belum dipatch. Ivanti telah merilis pembaruan yang harus segera diterapkan oleh semua pengguna vTM. Langkah-langkah pencegahan tambahan, seperti membatasi akses antarmuka manajemen dan memonitor log audit, juga sangat penting untuk mengurangi risiko serangan.
Organisasi yang menggunakan vTM harus bergerak cepat untuk menerapkan patch dan langkah-langkah mitigasi yang diperlukan untuk mencegah eksploitasi sistem mereka. Tetap memperbarui perangkat lunak dan memantau kerentanan baru adalah bagian penting dari praktik keamanan siber yang baik.
Pencarian di Shodan search engine
https://www.shodan.io/search/report?query=http.favicon.hash%3A362091310
Referensi: