Ivanti, Connect Secure ve Policy Secure Gateway'leri etkileyen, kod yürütme ve hizmet reddi (DoS) ile sonuçlanabilecek dört güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.
Kusurların listesi aşağıdaki gibidir:
- CVE-2024-21894 (CVSS puanı: 8,2) – Ivanti Connect Secure (9.x, 22.x) ve Ivanti Policy Secure'un IPSec bileşenindeki bir yığın taşması güvenlik açığı, kimliği doğrulanmamış kötü niyetli bir kullanıcının hizmeti çökertmek için özel hazırlanmış istekler göndermesine ve dolayısıyla hizmetin çökmesine neden olmasına olanak tanır. bir DoS saldırısı. Bazı durumlarda bu, rastgele kod yürütülmesine yol açabilir.
- CVE-2024-22052 (CVSS puanı: 7,5) – Ivanti Connect Secure (9.x, 22.x) ve Ivanti Policy Secure'un IPSec bileşenindeki boş işaretçi referansı güvenlik açığı, kimliği doğrulanmamış kötü niyetli bir kullanıcının hizmeti çökertmek için özel hazırlanmış istekler göndermesine ve dolayısıyla hizmetin çökmesine neden olmasına olanak tanır. bir DoS saldırısı.
- CVE-2024-22053 (CVSS puanı: 8,2) – Ivanti Connect Secure (9.x, 22.x) ve Ivanti Policy Secure'un IPSec bileşenindeki bir yığın taşması güvenlik açığı, kimliği doğrulanmamış kötü niyetli bir kullanıcının hizmeti çökertmek için özel hazırlanmış istekler göndermesine ve dolayısıyla hizmetin çökmesine neden olmasına olanak tanır. bir DoS saldırısı veya belirli durumlarda içeriklerin bellekten okunması.
- CVE-2024-22023 (CVSS puanı: 5,3) – Ivanti Connect Secure (9.x, 22.x) ve Ivanti Policy Secure'un SAML bileşenindeki bir XML varlık genişletmesi veya XEE güvenlik açığı, kimliği doğrulanmamış bir saldırganın, geçici olarak kaynak kullanımına neden olmak için özel hazırlanmış XML istekleri göndermesine olanak tanır. tükenme ve dolayısıyla sınırlı süreli bir DoS ile sonuçlanır.
Yılın başından bu yana ürünlerinde sürekli bir dizi güvenlik kusuruyla boğuşan şirket, “açıklama sırasında herhangi bir müşterinin bu güvenlik açıkları tarafından istismar edildiğinden” haberdar olmadığını söyledi.
Geçen ayın sonlarında Ivanti, Bağımsız Sentry ürünündeki (CVE-2023-41724, CVSS puanı: 9,6) kimliği doğrulanmamış bir tehdit aktörünün temel işletim sistemi üzerinde rastgele komutlar yürütmesine izin verebilecek kritik eksiklikler için yamalar gönderdi.
Ayrıca, kimliği doğrulanmış bir uzak saldırganın rastgele dosya yazma işlemleri gerçekleştirmek ve kod yürütme elde etmek amacıyla kötüye kullanabileceği, Neurons for ITSM'nin şirket içi sürümlerini (CVE-2023-46808, CVSS puanı: 9,9) etkileyen başka bir kritik kusuru da çözdü.
Ivanti'nin CEO'su Jeff Abbott, 3 Nisan 2023'te yayınlanan açık mektubunda, şirketin mevcut tehdit ortamının gereksinimlerini karşılamak için kendi duruşunu ve süreçlerini “yakından incelediğini” söyledi.
Abbott ayrıca “son aylardaki olayların utanç verici olduğunu” ve tasarım gereği güvenlik ilkelerini benimseyerek, bilgileri müşterilerle tam bir şeffaflıkla paylaşarak ve mühendislik, güvenlik ve güvenlik sistemlerini yeniden tasarlayarak güvenlik işletim modelini temelden değiştiren bir plan yürüttüğünü söyledi. güvenlik açığı yönetimi uygulamaları.
Abbott, “Dahili tarama, manuel kullanım ve test yeteneklerimizi yoğunlaştırıyoruz, dahili araştırmalarımızı güçlendirmek için güvenilir üçüncü tarafları görevlendiriyoruz ve gelişmiş bir hata ödül programı çerçevesinde artan teşviklerle güvenlik açıklarının sorumlu bir şekilde ifşa edilmesini kolaylaştırıyoruz” dedi.