Tisztelt Ügyfelünk!
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) riasztást ad ki az Ivanti Connect Secure és az Ivanti Policy Secure szoftvereket érintő magas kockázati besorolású sérülékenységek kapcsán, azok súlyossága és aktív kihasználása miatt.
A sérülékenységek az összes támogatott verziót – 9.x és 22.x – érintik. A biztonsági rés lehetővé teszi a támadó számára a jogosultság kiterjesztését rendszeradminisztrátori szintig, illetve korlátozott erőforrásokhoz való hozzáférést.
CVE-2024-21888: Az Ivanti Connect Secure (9.x, 22.x) és az Ivanti Policy Secure webes komponensének egy jogosultság kiterjesztési sebezhetősége lehetővé teszi a támadó számára, hogy adminisztrátori jogosultságra tegyen szert.
CVE-2024-21893: Az Ivanti Connect Secure (9.x, 22.x) és az Ivanti Policy Secure, illetve az Ivanti Neurons for ZTA SAML komponenseiben lévő szerver oldali kérést meghamisító sérülékenység lehetővé teszi a támadó számára, hogy bizonyos korlátozott erőforrásokhoz hitelesítés nélkül hozzáférjen.
Javasolt intézkedések
A Gyártó a sebezhetőségek felfedezése után azonnal kiadott egy frissítést, mely letölthető a hivatalos frissítési/letöltési portálról az Ivanti Connect Secure (9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1) és a ZTA (22.6R1.3) verzióihoz. A fennmaradó támogatott verziókhoz a biztonsági frissítés szakaszosan válik elérhetővé. Ezen felül a gyártó kiadott egy a sebezhetőséget áthidaló megoldást is, aminek az alkalmazásáról az alábbi cikkben található részletes leírás. Azon ügyfeleknek, akik már telepítették a kiadott biztonsági frissítést nem szükséges alkalmazniuk a fenti áthidaló megoldást.
Hivatkozások:
- https://nki.gov.hu/figyelmeztetesek/cve-serulekenysegek/cve-2024-21888/
- https://nki.gov.hu/figyelmeztetesek/cve-serulekenysegek/cve-2024-21893/
- https://nvd.nist.gov/vuln/detail/CVE-2024-21888
- https://cwe.mitre.org/data/definitions/264.html
- https://cwe.mitre.org/data/definitions/918.html
- https://nvd.nist.gov/vuln/detail/CVE-2024-21893
- https://forums.ivanti.com/s/article/CVE-2024-21888-Privilege-Escalation-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US