Ivanti, CSA ve Connect Secure Güvenlik Açıkları için Kritik Güvenlik Güncellemeleri Yayınlıyor

   Aralık 11, 2024  Posted in TheHackerNews


11 Aralık 2024Ravie LakshmananGüvenlik Açığı / Ağ Güvenliği

CSA ve Connect Güvenli Güvenlik Açıkları

Ivanti, Bulut Hizmetleri Uygulaması (CSA) ve Connect Secure ürünlerinde ayrıcalık artışına ve kod yürütülmesine yol açabilecek çok sayıda kritik kusuru gidermek için güvenlik güncellemeleri yayınladı.

Güvenlik açıklarının listesi aşağıdaki gibidir:

  • CVE-2024-11639 (CVSS puanı: 10.0) – 5.0.3’ten önce Ivanti CSA’nın yönetici web konsolunda, kimliği doğrulanmamış uzak bir saldırganın yönetim erişimi elde etmesine olanak tanıyan bir kimlik doğrulama atlama güvenlik açığı
  • CVE-2024-11772 (CVSS puanı: 9.1) – Ivanti CSA’nın 5.0.3 sürümünden önceki yönetici web konsolunda, yönetici ayrıcalıklarına sahip uzaktan kimliği doğrulanmış bir saldırganın uzaktan kod yürütmesine izin veren bir komut ekleme güvenlik açığı
  • CVE-2024-11773 (CVSS puanı: 9.1) – Ivanti CSA’nın 5.0.3 sürümünden önceki yönetici web konsolunda, yönetici ayrıcalıklarına sahip uzaktan kimliği doğrulanmış bir saldırganın rastgele SQL ifadeleri çalıştırmasına izin veren bir SQL enjeksiyon güvenlik açığı
  • CVE-2024-11633 (CVSS puanı: 9,1) – Ivanti Connect Secure’da, 22.7R2.4 sürümünden önce, kimliği doğrulanmış, yönetici ayrıcalıklarına sahip bir saldırganın uzaktan kod yürütmesine izin veren bir bağımsız değişken ekleme güvenlik açığı
  • CVE-2024-11634 (CVSS puanı: 9.1) – 22.7R2.3 sürümünden önceki Ivanti Connect Secure ve 22.7R1.2 sürümünden önceki Ivanti Policy Secure’da, kimliği doğrulanmış, yönetici ayrıcalıklarına sahip uzaktan bir saldırganın uzaktan kod yürütmesine izin veren bir komut yerleştirme güvenlik açığı
  • CVE-2024-8540 (CVSS puanı: 8.8) – Ivanti Sentry’nin 9.20.2 ve 10.0.2 veya 10.1.0 sürümlerinden önceki sürümünde, kimliği doğrulanmış yerel bir saldırganın hassas uygulama bileşenlerini değiştirmesine izin veren güvenli olmayan bir izin güvenlik açığı
Siber güvenlik

Aşağıdaki sürümlerde eksiklikler giderilmiştir –

  • Ivanti Bulut Hizmetleri Uygulaması 5.0.3
  • Ivanti Connect Güvenli 22.7R2.4
  • Ivanti Politikası Güvenli 22.7R1.2
  • Ivanti Sentry 9.20.2, 10.0.2 ve 10.1.0

Ivanti, yukarıda belirtilen kusurlardan herhangi birinin aktif olarak kullanıldığının farkında olmadığını vurgulasa da, ürünlerindeki bazı kusurların devlet destekli saldırganlar tarafından kötü niyetli faaliyetler için kötüye kullanıldığı göz önüne alındığında, kullanıcıların hızlı harekete geçmesi zorunludur.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link