Уязвимост, засягаща контролера за доставка на приложения Virtual Traffic Manager на Ivanti, се използва в дивата среда. Това е третият недостатък, за който клиентите на Ivanti получават такова предупреждение през последните две седмици.

Последният е CVE-2024-7593, критична уязвимост за заобикаляне на удостоверяването на Virtual Traffic Manager (vTM), която позволява на отдалечен, неаутентифициран нападател да създаде администраторски акаунт.

Ivanti обяви пачове за CVE-2024-7593 на 12 август, а по-късно компанията актуализира своята консултация, за да информира клиентите, че макар да не е знаела за експлоатиране в дивата природа, е бил предоставен доказателство за концептуален (PoC) експлойт.

Към момента на писане на статията SecurityWeek не е видял публични доклади, описващи атаки, включващи CVE-2024-7593, но във вторник CISA добави уязвимостта в своя каталог на известните експлоатирани уязвимости (KEV).

Ivanti е предоставила не само поправки, но и препоръки за ограничаване на възможностите за използване, както и индикатори за компрометиране (IoC). Въпреки това тя все още не е актуализирала консултацията, за да спомене злонамерената експлоатация.

Censys съобщава, че е видяла 97 екземпляра на Ivanti vTM, изложени на риск в интернет, а ZoomEye е видяла 164 екземпляра тази година, повечето в САЩ и Япония.

CVE-2024-7593 беше добавен към списъка на CISA с KEV малко след CVE-2024-8963 и CVE-2024-8190, които засягат Cloud Services Appliance (CSA) на Ivanti и които са били верижно използвани за неавтентифицирано отдалечено изпълнение на код.

Не е необичайно за  заплахите да използват уязвимости на продукти на Ivanti. Понастоящем CISA има 20 записа в своя KEV списък за уязвимости на Ivanti, някои от които са били използвани за предоставяне на задни врати, а други – за хакване на организации с висок профил като MITRE и CISA.