つみかさね

CVE-2024-7593

Critical(9.8)

CVE-2024-7593 — Ivanti vTM 管理パネル認証バイパス(CISA KEV登録)

公開日: 2026-06-06データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Virtual Traffic Manager (vTM)Ivanti22.2R1 / 22.7R2 以外の全バージョン

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Ivanti vTM を使用しているか確認する
  2. 2バージョンが 22.2R1 または 22.7R2 以外であれば即時アップデートを実施する
  3. 3アップデートまでの間、管理パネルへのネットワークアクセスを制限する

影響対象

Ivanti vTM 利用者

補足

  • -CISA KEV 登録済みのため早急な対応が必要。実際の悪用事例が確認されている。
CVEIvantivTM認証バイパスCISA-KEV

概要

Ivanti Virtual Traffic Manager(vTM)において、認証アルゴリズムの実装不備により、リモートの未認証攻撃者が管理パネルの認証を完全にバイパスできる脆弱性です。

CVSS スコア 9.8(CRITICAL)であり、CISA KEV(既知の悪用された脆弱性カタログ)に登録済みです。実際の悪用が確認されているため、影響を受けるバージョンを使用している場合は即時のアップデートが推奨されます。

攻撃が成功した場合、管理者権限で vTM を操作され、トラフィック管理設定の変更やシステムの完全な制御が可能になります。

CVSSベクトル

項目
CVSS バージョン3.1
ベクトルAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
攻撃経路(AV)ネットワーク
攻撃の複雑さ(AC)
必要な権限(PR)不要
ユーザーインタラクション(UI)不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)

影響を受けるソフトウェア

製品ベンダー影響バージョン
Virtual Traffic Manager (vTM)Ivanti22.2R1 および 22.7R2 以外の全バージョン

修正バージョンと回避策

修正バージョン:

  • 22.2R1
  • 22.7R2

上記いずれかのバージョンへのアップデートで修正されます。Ivanti のサポートページから最新のリリースを取得してください。

暫定対策: アップデートが即時困難な場合、管理パネルへのアクセスを信頼できるIPアドレスのみに制限することで攻撃対象領域を縮小できます。

関連リンク

データソース: NVD (NIST), CISA KEV AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

Ivanti Advisory:https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Virtual-Traffic-Manager-vTM-CVE-2024-7593
CISA KEV:https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-7593
NVD:https://nvd.nist.gov/vuln/detail/CVE-2024-7593
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。