Ivanti, üç kritik şiddet problemi de dahil olmak üzere birden fazla güvenlik açıkını ele almak için Ivanti Connect Secure (ICS), ICANTI Politika Secure (IPS) ve Ivanti Secure Access İstemcisi (ISAC) için güvenlik güncellemeleri yayınladı.
Şirket, CISA ve Akamai’deki güvenlik araştırmacılarından sorumlu açıklama programı ve Hackerone Bug Bounty platformu aracılığıyla kusurları öğrendi.
Ivanti, güvenlik bülteninde, vahşi doğada aktif olarak sömürülen sorunların hiçbiri hakkında hiçbir rapor almadığını belirtiyor. Ancak, kullanıcıların güvenlik güncellemelerini mümkün olan en kısa sürede yüklemelerini önerir.
Ivanti’nin yamalı üç kritik güvenlik açığı şunlardır:
- CVE-2025-22467: ICS’de Yığın Tabanlı Tampon Taşması, kod yürütmesi için düşük ayrıcalıklara sahip uzak kimlik doğrulamalı saldırganlara izin verir. (9,9 kritik önem skoru)
- CVE-2024-38657: Bir dosya adının harici kontrolü, uzaktan kimliği doğrulanmış saldırganların ICS ve IPS’de keyfi dosya yazımı gerçekleştirmesini sağlar. (9.1 kritik önem skoru)
- CVE-2024-10644: Kod Enjeksiyon Güvenlik Açığı, ICS ve IPS’de uzaktan kimliği doğrulanmış saldırganların uzaktan kod yürütülmesini sağlar. (9.1 kritik önem skoru)
Üç sorundan herhangi birini kullanmak uzak bir yerden mümkündür, ancak bir saldırganın kimliği doğrulanması gerekir. Ayrıca, bunlardan ikisi için uzaktan kod yürütme veya keyfi dosyalar yazmak için yönetici ayrıcalığı gereklidir.
Buna rağmen, kimlik avı, önceki ihlaller veya kaba zorlama şifreleri aracılığıyla kimlik bilgilerini çalan içeriden gelen tehditler veya saldırganlar, kötü niyetli işlemler için kusurlardan yararlanabilir.
Ayrıca, bültende orta ila yüksek ciddiyet arasında değişen beş kusur daha vardır. Sorunlar arasında siteler arası komut dosyası (XSS) sorunları, sabit kodlanmış anahtarlar, hassas verilerin metin depolanması ve yetersiz izinler bulunmaktadır.
Güvenlik açıkları ICS 22.7R2.5 ve daha büyük, IPS 22.7R1.2 ve daha büyük ve ISAC 22.7R4 ve altını etkiler. Her bir kusurdan hangi ürünlerin etkilendiğine dair ayrıntılar aşağıdaki tabloda görülebilir.
Sorunlar, sistem yöneticileri için önerilen yükseltme hedefleri olan ICS 22.7R2.6, IPS sürüm 22.7R1.3 ve ISAC 22.8R1’de ele alınmıştır.
Ivanti ayrıca sorunun Pulse Connect Secure 9.x’i de etkilediğini de kabul etti, ancak destek süreleri sona erdiğinde bu ürünler için düzeltmeler yapmayı planlamadığını belirtti.
Ivanti, “Ürünün Pulse Connect Secure 9.x versiyonu Haziran 2024’te mühendisliğin sonuna ulaştı ve 31 Aralık 2024 itibariyle destek ucuna ulaştı” diye açıklıyor.
Şirket, “Bu nedenle, Connect Secure’un 9.x sürümü artık geri taşıma düzeltmeleri almıyor,” diye ekledi şirket, müşterileri Ivanti Connect Secure’nin 22.7 sürümüne yükseltmeye teşvik ediyor.
Ivanti, yamalı kusurlar için herhangi bir hafifletme sağlamamıştır ve en son güncellemeyi uygulamak önerilen çözümdür.