9 Eylül’de Ivanti, güvenli erişim için Ivanti Connect Secure, Politika Güvenli, ZTA Ağ Geçitleri ve Nöronları Etkileyen Altı Orta ve Beş Yüksek Şiddet Güvenlik Açıklarını Detaylandıran Bir Güvenlik Danışmanlığı yayınladı.
Şimdiye kadar müşteri sömürüsü kanıtı ortaya çıkmadı. Yamalar ve düzeltmeler, eksik yetkilendirme kontrollerinden ve siteler arası istek amplifikatlarından (CSRF) kusurlara, sunucu tarafı istek amorcilik (SSRF) ve hizmet reddi koşullarına kadar değişen sorunları ele almak için derhal mevcuttur.
Güvenlik açıklarının kapsamı
Danışma, şirket içi ve bulut ürünleri dahil olmak üzere birçok bileşeni kapsar.
Etkilenen sürümler arasında Ivanti Connect Secure 22.7R2.8 ve daha önceki, Politika Secure 22.7R1.4 ve daha önceki, ZTA Ağ Geçidi 22.8R2.2 ve güvenli erişim için nöronlar 22.8R1.3 ve daha eskidir.
Ivanti, tüm ürünler için 2 Ağustos 2025’te düzeltmeler yaptı; Güvenli erişim için nöronlar için bulut ortamları otomatik olarak güncellendi.
| CVE numarası | Tanım | CVSS Puanı | Şiddet |
| CVE-2025-8712 | Eksik Yetkilendirme, uzaktan kimlik doğrulamalı salt okunur yöneticinin kısıtlı ayarları değiştirmesine izin verir. | 5.4 | Orta |
| CVE-2025-8711 | CSRF, uzaktan kumanda yetkisiz saldırganın mağdur etkileşimi ile sınırlı eylemler yapmasını sağlar. | 5.4 | Orta |
| CVE-2025-55145 | Eksik Yetkilendirme, uzaktan kimlik doğrulamalı saldırganın mevcut HTML5 bağlantılarını kaçırmasına izin verir. | 8.9 | Yüksek |
| CVE-2025-55146 | Kontrolsüz dönüş değeri, uzaktan kimlik doğrulamalı yöneticinin hizmet reddi tetiklemesini sağlar. | 4.9 | Orta |
| CVE-2025-55147 | CSRF, uzaktan kumanda edilmemiş saldırganın kullanıcı etkileşimi ile hassas eylemler yürütmesine izin verir. | 8.8 | Yüksek |
| CVE-2025-55148 | Eksik Yetkilendirme, uzaktan kimlik doğrulamalı salt okunur yöneticinin kısıtlı ayarları yapılandırmasına izin verir. | 7.6 | Yüksek |
| CVE-2025-55139 | SSRF, uzaktan kimliği doğrulanmış yöneticinin dahili hizmetleri numaralandırmasına izin verir. | 6.8 | Orta |
| CVE-2025-55141 | Eksik Yetkilendirme, kimlik doğrulamasını yapılandırmasına izin verir. | 8.8 | Yüksek |
| CVE-2025-55142 | Eksik Yetkilendirme, kimlik doğrulamasını yapılandırmasına izin verir. | 8.8 | Yüksek |
| CVE-2025-55143 | Yansıtılan metin enjeksiyonu, uzaktan kumanda uzaktan olmayan saldırganın keyfi HTTP yanıtı enjekte etmesini sağlar. | 6.1 | Orta |
| CVE-2025-55144 | Eksik yetkilendirme, kısıtlı ayarları yapılandırması için uzaktan kimlik doğrulamalı salt okunur yöneticinin sağlar. | 5.4 | Orta |
Azaltma ve öneriler
Yama dağıtım:
- Ivanti Connect Secure: Ivanti İndirme Portalı üzerinden 22.7R2.9 veya 22.8R2’ye güncelleyin.
- Ivanti Politikası Güvenli: Portal’dan 22.7R1.5’e yükseltme.
- ZTA Gateways: Denetleyici arayüzünden 22.8R2.3-723 sürümünü indirin.
- Güvenli erişim için nöronlar: müşteri eylemi gerekmez; 2 Ağustos’ta bulutta otomatik olarak uygulanan düzeltmeler.
Müşteriler idari portalları doğrudan internete maruz bırakmaktan kaçınmalıdır. Ağ kontrolleri aracılığıyla erişimi kısıtlamak, Ivanti’nin güvenlik rehberliği ve endüstri en iyi uygulamalarıyla uyumludur.
Ivanti, CVE-2025-55145’i rapor ettiği için güvenlik araştırmacısı Nikolay Semov’a teşekkürler. Ivanti’nin güvenlik açığı açıklama politikası hakkında ayrıntılar için Ivanti Destek sayfasını ziyaret edin.
Yazılım bileşenlerinin güncel olmasını sağlamak çok önemlidir. Yöneticiler, uzaktan erişim ve sıfır tröst ağ geçidi dağıtımlarının bütünlüğünü ve güvenliğini korumak için bu yamaları derhal uygulamaları istenir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.