Riasztás Ivanti termékeket érintő 0. napi kritikus sérülékenységekről

Tisztelt Ügyfelünk!

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) riasztást ad ki az Ivanti Connect Secure és az Ivanti Policy Secure szoftvereket érintő 0. napi, kritikus kockázati besorolású sérülékenységek kapcsán, azok súlyossága és aktív kihasználása miatt.

A sérülékenységek az összes támogatott verziót – 9.x és 22.x – érintik. A biztonsági rés lehetővé teszi a támadó számára a távoli kódfuttatást az Ivanti Connect Secure VPN eszközökön.

CVE-2023-46805: Az Ivanti Connect Secure (9.x, 22.x) és az Ivanti Policy Secure webes komponensének hitelesítés megkerülési sebezhetősége lehetővé teszi egy távoli támadó számára, hogy az ellenőrzések megkerülésével hozzáférjen korlátozott és bizalmas erőforrásokhoz.

CVE-2024-21887: Az Ivanti Connect Secure (9.x, 22.x) és az Ivanti Policy Secure webes komponenseiben lévő parancsinjekciós (command injection) sebezhetőség lehetővé teszi, hogy egy hitelesített rendszergazda speciális kéréseket küldjön és tetszőleges parancsokat hajtson végre a készüléken.

Javasolt intézkedések

Hivatalos javítás egyelőre még nem áll rendelkezésre, viszont a gyártó a rendszergazdák számára a sebezhetőség csökkentése érdekében javasolja a mitigation.release.20240107.1.xml fájl importálását. A letöltés hatással lehet egyes rendszerfunkciók működésére, erről a gyártó honlapján részletes tájékoztató olvasható.

A hivatalos javítás megjelenéséig Intézetünk azt javasolja, hogy az érintett ügyfelek hajtsák végre a mérséklő intézkedéseket, figyeljék a gyártó honlapját és amennyiben hivatalos javítás elérhetővé válik, azonnal telepítsék.

 

 

 


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-24228 – Apple sebezhetősége
CVE-2025-24097 – Apple sebezhetősége
CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége
CVE-2025-1268 – Canon sebezhetősége
CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
Tovább a sérülékenységekhez »