„Ivanti“ išleido „Ivanti Connect Secure“ (ICS), „Ivanti Policy Secure“ (IPS) ir „Ivanti Secure Access Client“ (ISAC) saugumo atnaujinimus, kad išspręstų daugybę pažeidžiamumų, įskaitant tris kritines sunkumo problemas.
Kompanija apie trūkumus sužinojo per savo atsakingą atskleidimo programą iš „CISA“ ir „Akamai“ saugumo tyrinėtojų ir per „Hackerone Bug Bounty“ platformą.
„Ivanti“ saugumo biuletenyje pažymi, kad negavo jokių pranešimų apie jokius klausimus, kurie buvo aktyviai išnaudojami gamtoje. Tačiau ji rekomenduoja vartotojams kuo greičiau įdiegti saugos atnaujinimus.
Trys kritiniai saugumo pažeidžiamumai „Ivanti Patched“ yra šie:
- CVE-2025-22467: „Stack“ pagrindu sukurtas buferio perpildymas ICS leidžia nuotoliniams autentifikuotiems užpuolikams, turintiems žemas privilegijas, atlikti kodą. (Kritinio sunkumo balas 9,9)
- CVE-2024-38657: Išorinis failo pavadinimo valdymas suteikia nuotoliniams autentifikuotiems užpuolikams atlikti savavališką failų rašymą ICS ir IPS. (kritinio sunkumo balas 9,1)
- CVE-2024-10644: Kodo injekcijos pažeidžiamumas leidžia nuotoliniams autentifikuotiems užpuolikų nuotoliniam kodo vykdymui ICS ir IPS. (kritinio sunkumo balas 9,1)
Išnaudojant bet kurį iš trijų problemų įmanoma iš atokios vietos, tačiau užpuolikas turi būti patvirtintas. Be to, norint pasiekti nuotolinį kodo vykdymą arba rašyti savavališkus failus, dvi iš jų yra būtinos administratoriaus privilegijos.
Nepaisant to, rizika vis dar yra didelė, nes grėsmė viešai neatskleista ar užpuolikai, kurie pavogė įgaliojimus sukčiavimu, ankstesniais pažeidimais ar dėl žiaurių priverstinių slaptažodžių, vis tiek gali panaudoti kenkėjiškų operacijų trūkumus.
Į biuletenį taip pat yra dar penki trūkumai, pradedant nuo vidutinio iki didelio sunkumo. Klausimai apima kryžminio scenarijaus (XSS) problemas, kietų kodų klavišus, neskelbtinų duomenų saugyklą ir nepakankamus leidimus.
Pažeidžiamumai daro įtaką ICS 22,7R2.5 ir vyresniems, IPS 22,7R1,2 ir vyresniems, ir ISAC 22,7R4 ir žemiau. Išsami informacija apie tai, kuriuos produktus paveikia kiekvienas trūkumas, galima pamatyti žemiau esančioje lentelėje.
Klausimai buvo išspręsti ICS 22.7R2.6 versijoje, IPS 22.7R1.3 versijoje ir ISAC 22.8R1, kurie yra rekomenduojami sistemos administratorių atnaujinimo tikslai.
„Ivanti“ taip pat pripažino, kad problema taip pat daro įtaką „Pulse Connect Secure 9.x“, tačiau pareiškė, kad ji neplanuoja siūlyti šių produktų pataisų, nes jų palaikymo laikotarpis baigėsi,
„„ Pulse Connect Secure 9.x “produkto versija pasiekė inžinerijos pabaigą 2024 m. Birželio mėn. Ir pasiekė palaikymo pabaigą nuo 2024 m. Gruodžio 31 d.“,-aiškina Ivanti.
„Dėl šios priežasties 9.x„ Connect Secure “versija nebegauna atsarginių pataisų“, – pridūrė bendrovė, skatindama klientus atnaujinti į „Ivanti Connect Secure“ 22.7 versiją.
„Ivanti“ nepateikė jokių sušvelnintų trūkumų ir naujausio atnaujinimo pritaikymo yra rekomenduojamas sprendimas.
