Tisztelt Ügyfelünk!
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) riasztást ad ki az Ivanti Connect Secure, Ivanti Policy Secure és az Ivanti ZTA Gateways szoftvereket érintő kritikus kockázati besorolású sérülékenységek kapcsán, azok súlyossága és aktív kihasználása miatt.
A CVE-2025-22457 egy kritikus súlyosságú biztonsági rés, amely az Ivanti Connect Secure (ICS), Ivanti Policy Secure és Ivanti ZTA Gateways VPN eszközök bizonyos verzióit érinti. A sebezhetőség egy verem-alapú puffer túlcsordulásból adódik, amely lehetővé teszi távoli, nem hitelesített támadók számára kód végrehajtását az érintett rendszereken.
Az Ivanti bizonyítékot talált arra, hogy a Ivanti Connect Secure (22.7R2.5 vagy korábbi) és Pulse Connect Secure 9.1x verziók ellen történt aktív kihasználás. A Pulse Connect Secure 9.1x verziója 2024. december 31-én elérte a támogatás végét (EoS), és a jövőben már nem részesül biztonsági frissítésekben és javításokban. A nem támogatott verziók alkalmazása komoly biztonsági kockázatokat hordoz, ezért erősen javasoljuk, hogy az érintett ügyfelek haladéktalanul migráljanak egy biztonságos és támogatott platformra. A migrálás megkezdéséhez vegye fel a kapcsolatot az Ivantival, és kérjen szakértői segítséget a frissítési folyamat során.
A sérülékenység az alábbi verziókat érinti:
| Termék | Érintett verzió: | Javított verzió: | Patch: |
| Ivanti Connect Secure | 22.7R2.5 és korábbi | 22.7R2.6 (2025 februárjában jelent meg) | https://portal.ivanti.com/ |
| Pulse Connect Secure (EoS) | 9.1R18.9 és korábbi | 22.7R2.6 | Lépjen kapcsolatba az Ivantival a migrációhoz |
| Ivanti Policy Secure | 22.7R1.3 és korábbi | 22.7R1.4 | Április 21. |
| ZTA Gateways | 22.8R2 és korábbi | 22.8R2.2 | Április 19. |
Javasolt intézkedések:
Ivanti Connect Secure: Javasoljuk, a 2025 februárjában kiadott 22.7R2.6 verzió alkalmazását. Ha bármilyen problémába ütközik a verzió telepítése közben, vegye fel a kapcsolatot az Ivantival.
Pulse Connect Secure 9.1x: Vegye fel a kapcsolatot az Ivantival a migrálás érdekében. Ez a termék 2024. december 31-én elérte a támogatása végét, és már nem kap frissítést. Az Ivanti nem tud segítséget nyújtani azoknak az ügyfeleknek, akik nem szeretnének migrálni.
Ivanti Policy Secure: A javítás fejlesztés alatt áll, és várhatóan április 21-én válik elérhetővé. A kockázat kisebb, mivel ez a termék nem internetes elérésre van tervezve. Jelenleg nincs információ aktív kihasználásról.
Ivanti ZTA Gateways: A javítás fejlesztés alatt áll, és automatikusan alkalmazásra kerül, várhatóan április 19-én. Az Ivanti Neurons ZTA gateway-ek nem sérülékenyek. Ha generálnak egy gateway-t, de nem csatlakoztatják ZTA vezérlőhöz, akkor van kockázat a kihasználására. Jelenleg nincs információ aktív kihasználásról.
Hivatkozások: