Ivanti heeft beveiligingsupdates vrijgegeven om meerdere beveiligingsfouten aan te pakken die van invloed zijn op Connect Secure (ICS), Policy Secure (IPS) en Cloud Services Application (CSA) die kunnen worden benut om willekeurige code -uitvoering te bereiken.
De lijst met kwetsbaarheden is hieronder –
- CVE-2024-38657 (CVSS -score: 9.1) – Externe besturing van een bestandsnaam in Ivanti Connect Secure vóór versie 22.7R2.4 en Ivanti Policy Secure vóór versie 22.7R1.3 staat een externe geverifieerde aanvaller met admin -privileges toe om willekeurige bestanden te schrijven, willekeurige bestanden schrijven
- CVE-2025-22467 (CVSS -score: 9.9) – Een op stapel gebaseerde bufferoverloop in Ivanti Connect Secure voordat versie 22.7R2.6 een externe geverifieerde aanvaller kan bereiken om externe code -uitvoering te bereiken
- CVE-2024-10644 (CVSS -score: 9.1) – Code -injectie in Ivanti Connect Secure vóór versie 22.7R2.4 en Ivanti Policy Secure vóór versie 22.7R1.3 staat een externe geverifieerde aanvaller met admin -privileges in staat om externe code -uitvoering te bereiken
- CVE-2024-47908 (CVSS -score: 9.1) – Besturingssysteemopdrachtinjectie in de admin -webconsole van ivanti CSA voordat versie 5.0.5 een externe geverifieerde aanvaller met admin -privileges mogelijk maakt om externe code -uitvoering te bereiken
De tekortkomingen zijn aangepakt in de onderstaande versies –
- Ivanti Connect Secure 22.7R2.6
- Ivanti beleid beveiligd 22.7r1.3
- Ivanti CSA 5.0.5
Het bedrijf zei dat het niet op de hoogte is van de fouten die in het wild worden uitgebuit. Omdat Ivanti -apparaten herhaaldelijk worden bewapend door kwaadaardige acteurs, is het absoluut noodzakelijk dat gebruikers stappen ondernemen om de nieuwste patches toe te passen.
Ivanti erkende ook dat zijn randproducten “gericht en benut door geavanceerde dreigingsacteuraanvallen” en dat het inspanningen levert om zijn software te verbeteren, beveiligde principes te implementeren en de lat te verhogen voor potentieel misbruik door tegenstanders.
“Hoewel deze producten niet het ultieme doelwit zijn, zijn ze in toenemende mate de route die goed ingewerkte natiestaatgroepen hun inspanningen richten op het proberen van spionagecampagnes tegen extreem hoogwaardige organisaties,” zei Ivanti CSO Daniel Spicer.
“We hebben verbeterde interne scanning-, handmatige exploitatie- en testmogelijkheden, verhoogde samenwerking en het delen van informatie met het beveiligingsecosysteem en hebben ons verantwoordelijke openbaarmakingsproces verder verbeterd, inclusief het worden van een CVE -nummeringsautoriteit.”
De ontwikkeling komt wanneer bisschop Fox volledige technische details heeft uitgebracht van een nu gepatchte beveiligingsfout in Sonicwall Sonicos (CVE-2024-53704) die kunnen worden benut om authenticatie in firewalls te omzeilen en aanvallers toe te staan actieve SSL VPN-sessies te verkrijgen om niet-geautoriseerd te krijgen om niet-autoriseerde toegang.
Vanaf 7 februari 2025 blijven bijna 4.500 internetgerichte Sonicwall SSL VPN-servers ongecontroleerd tegen CVE-2024-53704.
In een vergelijkbare stap heeft Akamai zijn ontdekking van twee kwetsbaarheden gepubliceerd in Fortinet Fortios (CVE-2024-46666 en CVE-2024-46668) dat een niet-geautoreerde aanvaller kan exploiteren om ontkenning (DOS) en externe code-uitvoering te bereiken. De gebreken werden opgelost door Fortinet op 14 januari 2025.
Fortinet heeft sindsdien ook zijn advies voor CVE-2024-55591 herzien om een andere fout te benadrukken die wordt gevolgd als CVE-2025-24472 (CVSS-score: 8.1) die zou kunnen resulteren in een authenticatie-bypass in Fortios en Fortroxy-apparaten via een speciaal gemaakt CSF-proxy-verzoek.
Het bedrijf heeft WatchTowr Labs -onderzoeker Sonny MacDonald gecrediteerd voor het ontdekken en rapporteren van de fout. Het is vermeldenswaard dat de kwetsbaarheid al is gepatcht naast CVE-2024-55591, wat betekent dat er geen actie van klanten vereist is als er al fixes voor deze laatste zijn toegepast.
