Ivanti heeft beveiligingsupdates uitgebracht om vier beveiligingsproblemen op te lossen die van invloed zijn op Connect Secure en Policy Secure Gateways en die kunnen leiden tot code-uitvoering en denial-of-service (DoS).
De lijst met gebreken is als volgt:
- CVE-2024-21894 (CVSS-score: 8,2) – Een heap overflow-kwetsbaarheid in de IPSec-component van Ivanti Connect Secure (9.x, 22.x) en Ivanti Policy Secure stelt een niet-geverifieerde kwaadwillende gebruiker in staat speciaal vervaardigde verzoeken te verzenden om de service te laten crashen, waardoor een DoS-aanval. Onder bepaalde omstandigheden kan dit leiden tot de uitvoering van willekeurige code.
- CVE-2024-22052 (CVSS-score: 7,5) – Een null pointer dereference-kwetsbaarheid in de IPSec-component van Ivanti Connect Secure (9.x, 22.x) en Ivanti Policy Secure stelt een niet-geverifieerde kwaadwillende gebruiker in staat speciaal vervaardigde verzoeken te verzenden om de service te laten crashen, waardoor een DoS-aanval.
- CVE-2024-22053 (CVSS-score: 8,2) – Een heap overflow-kwetsbaarheid in de IPSec-component van Ivanti Connect Secure (9.x, 22.x) en Ivanti Policy Secure stelt een niet-geverifieerde kwaadwillende gebruiker in staat speciaal vervaardigde verzoeken te verzenden om de service te laten crashen, waardoor een DoS-aanval of onder bepaalde omstandigheden de inhoud uit het geheugen lezen.
- CVE-2024-22023 (CVSS-score: 5,3) – Een XML-entiteitsuitbreiding of XEE-kwetsbaarheid in de SAML-component van Ivanti Connect Secure (9.x, 22.x) en Ivanti Policy Secure stelt een niet-geverifieerde aanvaller in staat speciaal vervaardigde XML-verzoeken te verzenden om tijdelijk bronnen te veroorzaken uitputting, wat resulteert in een tijdelijke DoS.
Het bedrijf, dat sinds het begin van het jaar te kampen heeft met een gestage stroom beveiligingsfouten in zijn producten, zegt dat het op het moment van bekendmaking niet weet dat “klanten door deze kwetsbaarheden worden uitgebuit”.
Eind vorige maand verscheepte Ivanti patches voor kritieke tekortkomingen in zijn Standalone Sentry-product (CVE-2023-41724, CVSS-score: 9,6) waarmee een niet-geverifieerde bedreigingsacteur willekeurige opdrachten op het onderliggende besturingssysteem kon uitvoeren.
Het loste ook een andere kritieke fout op die van invloed was op lokale versies van Neurons for ITSM (CVE-2023-46808, CVSS-score: 9,9) die een geverifieerde aanvaller op afstand zou kunnen misbruiken om willekeurig bestanden te schrijven en code-uitvoering te verkrijgen.
In een open brief gepubliceerd op 3 april 2023 zei Ivanti's CEO Jeff Abbott dat het bedrijf zijn eigen houding en processen “onder de loep neemt” om aan de eisen van het huidige dreigingslandschap te voldoen.
Abbott zei ook dat “de gebeurtenissen van de afgelopen maanden vernederend zijn geweest” en dat het een plan uitvoert dat zijn operationele beveiligingsmodel wezenlijk verandert door het adopteren van ‘secure-by-design’-principes, het delen van informatie met klanten met volledige transparantie en het opnieuw ontwerpen van de engineering, beveiliging en beveiliging. praktijken op het gebied van kwetsbaarheidsbeheer.
“We intensiveren onze interne scan-, handmatige exploitatie- en testmogelijkheden, schakelen vertrouwde derde partijen in om ons interne onderzoek uit te breiden en verantwoorde openbaarmaking van kwetsbaarheden te faciliteren met verhoogde prikkels rond een verbeterd bugbounty-programma”, aldus Abbott.
