Ivanti, yetkilendirilmemiş saldırganların savunmasız sistemlere idari erişim elde etmesine izin verebilecek ITSM (BT hizmet yönetimi) çözümü için nöronlarında kritik bir kimlik doğrulama baypas güvenlik açığını ele almak için güvenlik güncellemeleri yayınladı.
13 Mayıs 2025’te açıklanan kusur, sadece şirket içi örnekleri etkiler ve şiddetini gösteren 9.8 CVSS puanı verilmiştir.
CVE-2025-22462 olarak izlenen güvenlik açığı, ITSM sürümleri 2023.4, 2024.2, 2024.3 ve daha önceki sürümler için Ivanti nöronlarını etkiler.
.png
)
Ivanti’nin danışmanlığına göre, başarılı sömürü, uzak saldırganların etkilenen sistemlere idari erişim elde etmesine izin verebilir, ancak risk sistem yapılandırmasına bağlı olarak değişir.
Kritik Ivanti Itsm Güvenlik Açığı
Ivanti, “IIS web sitesini güvence altına alan ve sınırlı sayıda IP adresine ve alan adına sınırlı erişimi kısıtlayan müşterilerin çevreleri için azaltılmış bir riske sahip” dedi.
Şirket ayrıca, çözümlerini harici kullanıcı erişimi için bir DMZ ile yapılandıran müşterilerin daha düşük risklerle karşı karşıya olduğunu belirtti.
Güvenlik yamaları artık etkilenen her sürüm için ayrı güncellemelerle Ivanti’nin İndirme Portalı aracılığıyla kullanılabilir.
| Ürün adı | Etkilenen sürüm (ler) | Çözülen sürüm (ler) | Yama müsaitliği |
|---|---|---|---|
| ITSM için Ivanti Nöronları (sadece şirket içi) | 2023.4 | 2023.4 Mayıs 2025 Güvenlik Yaması | ILS’de Mevcut İndirin |
| ITSM için Ivanti Nöronları (sadece şirket içi) | 2024.2 | 2024.2 Mayıs 2025 Güvenlik Yaması | ILS’de Mevcut İndirin |
| ITSM için Ivanti Nöronları (sadece şirket içi) | 2024.3 | 2024.3 Mayıs 2025 Güvenlik Yaması | ILS’de Mevcut İndirin |
Temel CVSS skoru kritik ciddiyeti (9.8) gösterirken, Ivanti, önerilen güvenlik konfigürasyonlarını uygulayan kuruluşlar için 6.9 (orta) çevresel puan sağlamıştır.
Bu ayarlanmış puan, ITSM örneğinin yalnızca ağ kısıtlamaları veya diğer kontroller aracılığıyla yüksek ayrıcalıklı kullanıcılar için kullanılabilir olduğu ortamları yansıtır.
Şirket, açıklama sırasında müşterileri hedefleyen aktif sömürü kanıtı bulamadığını belirtti. Güvenlik açığı Ivanti’nin sorumlu açıklama programı ile tanımlanmıştır.
Bu, geçen yıl Ivanti ürünlerini etkileyen bir dizi güvenlik sorununun sonuncusu. Nisan 2025’te Ivanti, şüpheli Çin-Nexus tehdit aktörleri tarafından aktif olarak sömürülen bağlantı güvenli VPN cihazlarında kritik bir güvenlik açığını (CVE-2025-22457) açıkladı.
Mart ayının başlarında şirket, ITSM için bağımsız nöbetçi ve nöronlarda kritik güvenlik açıklarını komuta yürütmeye yol açabilecek şekilde yamaladı.
ITSM için Ivanti nöronlarının etkilenen sürümlerini kullanan kuruluşların mevcut güvenlik yamalarını hemen uygulamaya teşvik edilmektedir.
Hemen yama yapamayanlar için, IIS web sitesinin güvenliğini sağlamak, IP adresine ve alan adına göre erişimi kısıtlamak ve uygun DMZ yapılandırmasını sağlamak da dahil olmak üzere önerilen azaltma adımlarını uygulamak, pozlamayı azaltmaya yardımcı olabilir.
Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri