Ivanti a alerté ses clients d’une autre faille de sécurité de haute gravité dans ses appareils de passerelle Connect Secure, Policy Secure et ZTA, qui pourrait permettre aux attaquants de contourner l’authentification.
Le problème, suivi comme CVE-2024-22024est noté 8,3 sur 10 sur le système de notation CVSS.
« Une entité externe XML ou une vulnérabilité XXE dans le composant SAML des passerelles Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) et ZTA qui permet à un attaquant d’accéder à certaines ressources restreintes sans authentification », la société dit dans un avis.
La société a déclaré avoir découvert la faille lors d’un examen interne dans le cadre de son enquête en cours sur plusieurs failles de sécurité dans les produits révélées depuis le début de l’année, notamment CVE-2023-46805, CVE-2024-21887, CVE. -2024-21888 et CVE-2024-21893.
CVE-2024-22024 affecte les versions suivantes des produits –
- Ivanti Connect Secure (versions 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 et 22.5R1.1)
- Ivanti Policy Secure (version 22.5R1.1)
- ZTA (version 22.6R1.3)
Les correctifs pour le bogue sont disponibles dans les versions Connect Secure 9.1R14.5, 9.1R17.3, 9.1R18.4, 22.4R2.3, 22.5R1.2, 22.5R2.3 et 22.6R2.2 ; Versions Policy Secure 9.1R17.3, 9.1R18.4 et 22.5R1.2 ; et versions ZTA 22.5R1.6, 22.6R1.5 et 22.6R1.7.
Ivanti a déclaré qu’il n’y avait aucune preuve d’exploitation active de la faille, mais avec CVE-2023-46805, CVE-2024-21887 et CVE-2024-21893 faisant l’objet d’abus généralisés, il est impératif que les utilisateurs agissent rapidement pour appliquer les derniers correctifs.
Mise à jour
La société de cybersécurité watchTowr, qui a déclaré avoir divulgué CVE-2024-22024 à Ivanti début février 2024, a déclaré que le problème provenait d’un correctif incorrect pour CVE-2024-21893 introduit dans la dernière version du logiciel.
« XXE est une introduction à une variété d’impacts : DOS, Local File Read et SSRF », il dit. « L’impact du SSRF dépend clairement des protocoles disponibles. »