Ivanti tiene liberado Actualizaciones de seguridad para abordar múltiples fallas de seguridad que afectan a Connect Secure (ICS), Policy Secure (IPS) y la aplicación de servicios en la nube (CSA) que podrían explotarse para lograr la ejecución de código arbitrario.
La lista de vulnerabilidades está a continuación –
- CVE-2024-38657 (Puntuación CVSS: 9.1) – Control externo de un nombre de archivo en Ivanti Connect Secure antes de la versión 22.7R2.4 e Ivanti Secure antes de la versión 22.7R1.3 permite a un atacante autenticado remoto con privilegios de administración escribir archivos arbitrarios
- CVE-2025-22467 (Puntuación CVSS: 9.9): un desbordamiento de búfer basado en pila en Ivanti Connect Secure antes de la versión 22.7R2.6 permite a un atacante autenticado remoto lograr la ejecución del código remoto
- CVE-2024-10644 (Puntuación CVSS: 9.1) – La inyección de código en Ivanti Connect Secure antes de la versión 22.7R2.4 e Ivanti Secure antes de la versión 22.7r1.3 permite a un atacante autenticado remoto con privilegios de administración para lograr la ejecución del código remoto
- CVE-2024-47908 (Puntuación CVSS: 9.1) – Inyección de comando del sistema operativo en la consola web de administración de Ivanti CSA antes de la versión 5.0.5 permite que un atacante autenticado remoto con privilegios de administración alcance la ejecución de código remoto
Las deficiencias se han abordado en las versiones a continuación –
- Ivanti Connect Secure 22.7R2.6
- Política Ivanti segura 22.7R1.3
- Ivanti CSA 5.0.5
La compañía dijo que no es consciente de que ninguno de los defectos que se explotan en la naturaleza. Sin embargo, con los electrodomésticos de Ivanti siendo armados repetidamente por actores maliciosos, es imperativo que los usuarios tomen medidas para aplicar los últimos parches.
Ivanti también reconoció que sus productos de borde han sido “atacados y explotados por ataques de actores de amenaza sofisticados” y que está haciendo esfuerzos para mejorar su software, implementar principios seguros por diseño y elevar el listón por un posible abuso por parte de los adversarios.
“Si bien estos productos no son el objetivo final, son cada vez más la ruta en la que los grupos estatales nacionales con bienvenidos están centrando su esfuerzo para intentar campañas de espionaje contra organizaciones de un valor extremadamente alto”, Ivanti CSO Daniel Spicer dicho.
“Hemos mejorado el escaneo interno, las capacidades de explotación manual y de prueba, una mayor colaboración y el intercambio de información con el ecosistema de seguridad, y mejoramos aún más nuestro proceso de divulgación responsable, incluida la convertirse en una autoridad de numeración de CVE”.
El desarrollo se produce como obispo Fox liberado Detalles técnicos completos de una falla de seguridad ahora parchada en Sonicwall Sonicos (CVE-2024-53704) que podrían explotarse para evitar la autenticación en firewalls y permitir a los atacantes secuestrar sesiones SSL VPN activas para obtener acceso no autorizado.
A partir del 7 de febrero de 2025, casi 4.500 servidores VPN de SonicWall SSL, orientados a Internet, permanecen sin parpadear contra CVE-2024-53704.
En un movimiento similar, Akamai tiene publicado su descubrimiento de dos vulnerabilidades en Fortinet Fortios (CVE-2024-46666 y CVE-2024-46668) que un atacante no autenticado puede explotar para lograr la negación de servicio (DOS) y la ejecución de código remoto. Fortinet resolvió los defectos el 14 de enero de 2025.
Fortinet tiene desde entonces también revisado Su aviso para CVE-2024-55591 para resaltar otro defecto rastreado como CVE-2025-24472 (Puntuación CVSS: 8.1) que podría dar lugar a una derivación de la autenticación en los dispositivos Fortios y Fortiproxy a través de una solicitud de proxy CSF especialmente elaborada.
La compañía acreditó al investigador de WatchTowr Labs, Sonny MacDonald, por descubrir e informar el defecto. Vale la pena señalar que la vulnerabilidad ya se ha parcheado junto con CVE-2024-55591, lo que significa que no se requiere acción del cliente si ya se han aplicado correcciones para este último.
About the Author
