Af Eskil Sørensen, 01/02/24
Der er fundet nye sårbarheder i Ivanti-produkter. Det drejer sig om produkterne Pulse Connect Secure, Pulse Policy Secure og Neurons, som Ivanti i går har offentliggjort to CVE-numre til.
Det fremgår af en artikel i The Hacker News og en række andre medier.
Fundene er sket som led i en igangværende undersøgelse af CVE-2023-46805 og CVE-2024-21887, hvorved der er identificeret yderligere sårbarheder i Ivanti Connect Secure, Ivanti Policy Secure og Ivanti Neurons for ZTA.
Sårbarhederne har id’erne CVE-2024-21888 (CVSS 8,8) og CVE-2024-21893 (CVSS 8,2). Den sidste skulle efter sigende være under aktiv udnyttelse.
Den ene sårbarhed (CVE-2024-21888) gør det muligt at eskalere privilegier gennem webkomponenten til Ivanti Connect Secure og Ivanti Policy Secure. Den anden (CVE-2024-21893) er en server-side sårbarhed i SAML-komponenten af Ivanti Connect Secure, Ivanti Policy Secure og Ivanti Neurons til ZTA. Den kan give en fjendtlig aktør adgang til visse begrænsede ressourcer uden forudgående autentifikation.
Udnyttelse kræver, at angriberen har netværksadgang til enheden. Yderligere oplysninger om udnyttelse er ikke beskrevet
Det anbefales at opdatere de relevante enheder.
Links:
https://forums.ivanti.com/s/article/CVE-2024-21888-Privilege-Escalation-...
https://thehackernews.com/2024/01/alert-ivanti-discloses-2-new-zero-day....
https://www.securityweek.com/after-delays-ivanti-patches-zero-days-and-c...
https://www.bleepingcomputer.com/news/security/ivanti-warns-of-new-conne...
https://therecord.media/ivanti-warns-of-two-bugs-as-cisa-issues-alert-ab...
https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-b...
https://thehackernews.com/2024/01/alert-ivanti-discloses-2-new-zero-day....
https://www.bankinfosecurity.com/ivanti-discloses-additional-zero-day-th...
https://www.itnews.com.au/news/ivanti-security-patches-start-to-ship-604645
https://securityaffairs.com/158403/hacking/ivanti-actively-exploited-zer...
https://www.theregister.com/2024/01/31/ivanti_patches_zero_days/
https://techcrunch.com/2024/01/31/ivanti-patches-two-zero-days-under-att...