Ivanti, Connect Secure ve Policy Secure Gateway’leri etkileyen, kod yürütme ve hizmet reddi (DoS) ile sonuçlanabilecek dört güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.
Kusurların listesi aşağıdaki gibidir:
- CVE-2024-21894 (CVSS puanı: 8,2) – Ivanti Connect Secure (9.x, 22.x) ve Ivanti Policy Secure’un IPSec bileşenindeki bir yığın taşması güvenlik açığı, kimliği doğrulanmamış kötü niyetli bir kullanıcının hizmeti çökertmek için özel hazırlanmış istekler göndermesine ve dolayısıyla hizmetin çökmesine neden olmasına olanak tanır. bir DoS saldırısı. Bazı durumlarda bu, rastgele kod yürütülmesine yol açabilir.
- CVE-2024-22052 (CVSS puanı: 7,5) – Ivanti Connect Secure (9.x, 22.x) ve Ivanti Policy Secure’un IPSec bileşenindeki boş işaretçi referansı güvenlik açığı, kimliği doğrulanmamış kötü niyetli bir kullanıcının hizmeti çökertmek için özel hazırlanmış istekler göndermesine ve dolayısıyla hizmetin çökmesine neden olmasına olanak tanır. bir DoS saldırısı.
- CVE-2024-22053 (CVSS puanı: 8,2) – Ivanti Connect Secure (9.x, 22.x) ve Ivanti Policy Secure’un IPSec bileşenindeki bir yığın taşması güvenlik açığı, kimliği doğrulanmamış kötü niyetli bir kullanıcının hizmeti çökertmek için özel hazırlanmış istekler göndermesine ve dolayısıyla hizmetin çökmesine neden olmasına olanak tanır. bir DoS saldırısı veya belirli durumlarda içeriklerin bellekten okunması.
- CVE-2024-22023 (CVSS puanı: 5,3) – Ivanti Connect Secure (9.x, 22.x) ve Ivanti Policy Secure’un SAML bileşenindeki bir XML varlık genişletmesi veya XEE güvenlik açığı, kimliği doğrulanmamış bir saldırganın, geçici olarak kaynak kullanımına neden olmak için özel hazırlanmış XML istekleri göndermesine olanak tanır. tükenme ve dolayısıyla sınırlı süreli bir DoS ile sonuçlanır.
Yılın başından bu yana ürünlerinde sürekli olarak güvenlik kusurlarıyla boğuşan şirket, söz konusu “açıklama sırasında herhangi bir müşterinin bu güvenlik açıklarından yararlandığının” farkında değil.
Geçen ayın sonlarında Ivanti, Bağımsız Sentry ürünündeki (CVE-2023-41724, CVSS puanı: 9,6) kimliği doğrulanmamış bir tehdit aktörünün temel işletim sistemi üzerinde rastgele komutlar yürütmesine izin verebilecek kritik eksiklikler için yamalar gönderdi.
Ayrıca, kimliği doğrulanmış bir uzak saldırganın rastgele dosya yazma işlemleri gerçekleştirmek ve kod yürütme elde etmek amacıyla kötüye kullanabileceği, Neurons for ITSM’nin şirket içi sürümlerini (CVE-2023-46808, CVSS puanı: 9,9) etkileyen başka bir kritik kusuru da çözdü.
Ivanti’nin CEO’su Jeff Abbott, 3 Nisan 2023’te yayınlanan açık bir mektupta söz konusu Şirket, mevcut tehdit ortamının gereksinimlerini karşılamak için kendi duruşunu ve süreçlerini “yakından inceliyor”.
Abbott ayrıca “son aylardaki olayların utanç verici olduğunu” ve güvenlik işletim modelini esasen değiştiren bir plan yürüttüğünü söyledi. tasarım gereği güvenlik ilkeleribilgileri müşterilerle tam bir şeffaflıkla paylaşıyor ve mühendislik, güvenlik ve güvenlik açığı yönetimi uygulamalarını yeniden tasarlıyor.
Abbott, “Dahili tarama, manuel kullanım ve test yeteneklerimizi yoğunlaştırıyoruz, dahili araştırmalarımızı güçlendirmek için güvenilir üçüncü tarafları görevlendiriyoruz ve gelişmiş bir hata ödül programı çerçevesinde artan teşviklerle güvenlik açıklarının sorumlu bir şekilde ifşa edilmesini kolaylaştırıyoruz” dedi.