Riasztás az Ivanti termékeket érintő magas kockázati besorolású sérülékenységekről


2024. február 2. 09:55

Tisztelt Ügyfelünk!

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) riasztást ad ki az Ivanti Connect Secure és az Ivanti Policy Secure szoftvereket érintő magas kockázati besorolású sérülékenységek kapcsán, azok súlyossága és aktív kihasználása miatt.

A sérülékenységek az összes támogatott verziót – 9.x és 22.x – érintik. A biztonsági rés lehetővé teszi a támadó számára a jogosultság kiterjesztését rendszeradminisztrátori szintig, illetve korlátozott erőforrásokhoz való hozzáférést.

CVE-2024-21888: Az Ivanti Connect Secure (9.x, 22.x) és az Ivanti Policy Secure webes komponensének egy jogosultság kiterjesztési sebezhetősége lehetővé teszi a támadó számára, hogy adminisztrátori jogosultságra tegyen szert.

CVE-2024-21893: Az Ivanti Connect Secure (9.x, 22.x) és az Ivanti Policy Secure, illetve az Ivanti Neurons for ZTA SAML komponenseiben lévő szerver oldali kérést meghamisító sérülékenység lehetővé teszi a támadó számára, hogy bizonyos korlátozott erőforrásokhoz hitelesítés nélkül hozzáférjen.

Javasolt intézkedések

A Gyártó a sebezhetőségek felfedezése után azonnal kiadott egy frissítést, mely letölthető a hivatalos frissítési/letöltési portálról az Ivanti Connect Secure (9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1) és a ZTA (22.6R1.3) verzióihoz. A fennmaradó támogatott verziókhoz a biztonsági frissítés szakaszosan válik elérhetővé. Ezen felül a gyártó kiadott egy a sebezhetőséget áthidaló megoldást is, aminek az alkalmazásáról az alábbi cikkben található részletes leírás. Azon ügyfeleknek, akik már telepítették a kiadott biztonsági frissítést nem szükséges alkalmazniuk a fenti áthidaló megoldást.

Hivatkozások:

Letöltés:
  Riasztas_Ivanti_2024_02_01.pdf

Legfrissebb sérülékenységek
CVE-2026-24423 – SmarterTools SmarterMail Missing Authentication for Critical Function sérülékenység
CVE-2026-25049 – n8n sérülékenység
CVE-2025-15467 – OpenSSL sérülékenység
CVE-2025-40551 – SolarWinds Web Help Desk Deserialization of Untrusted Data sérülékenység
CVE-2019-19006 – Sangoma FreePBX Improper Authentication sérülékenység
CVE-2025-64328 – Sangoma FreePBX OS Command Injection sérülékenység
CVE-2021-39935 – GitLab Community and Enterprise Editions Server-Side Request Forgery (SSRF) sérülékenység
CVE-2025-11953 – React Native Community CLI sérülékenysége
CVE-2026-1281 – Ivanti Endpoint Manager Mobile (EPMM) Code Injection sérülékenység
CVE-2026-24858 – Fortinet Multiple Products Authentication Bypass Using an Alternate Path or Channel sérülékenység
Tovább a sérülékenységekhez »