Sårbarheder i Ivanti-produkter

0-dagssårbarheder under udnyttelse.

Ivanti har frigivet oplysninger om to 0-dagssårbarheder i hhv. Ivanti Connect Secure (ICS) og Policy Secure, som i øjeblikket udnyttes aktivt. Sårbarhederne kan udnyttes til at udføre vilkårlige kommandoer på sårbare systemer.

Det fremgår af meddelelse fra Ivanti, som er refereret i en række medier i dag, herunder Ars Technica.

Der er tale om to CVE’er:

  • CVE-2023-46805 er en ’autentication bypass’-sårbarhed i webkomponenten af Ivanti ICS 9.x, 22.x og Ivanti Policy Secure. Denne giver en ondsindet aktør mulighed for at opnå adgang til begrænsede ressourcer ved at omgå det normale kontroltjek.
  • CVE-2024-21887 er en ’command injection’-sårbarhed forbindelse med validering af input (input injection) i webkomponenterne i Ivanti Connect Secure (9.x, 22.x) og Ivanti Policy Secure. Denne sårbarhed giver en valideret administrator mulighed for at sende specielt udformede anmodninger og udføre vilkårlige kommandoer på enheden.

Det er kombinationen af de to sårbarheder, der er problematiske ud fra et sikkerhedsperspektiv. Omgåelse af autentifikationen gør det muligt for en angriber at oprette uautoriserede anmodninger og udføre vilkårlige kommandoer på systemet.

CVE-2023-46805 har en CVSS-score på 8,2, mens CVE-2024-21887’s score er 9,1.

De berørte systemer er Ivanti Connect Secure og Ivanti Policy Secure Gateway Version 9.x og 22.x

Det anbefales at opdatere systemer i henhold til producentens anvisninger.

Links:

https://arstechnica.com/security/2024/01/actively-exploited-0-days-in-ivanti-vpn-are-letting-hackers-backdoor-networks/

https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

 

Keywords: