Ivanti divulgou atualizações de segurança para Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) e Ivanti Secure Access Client (ISAC) para corrigir múltiplas vulnerabilidades, incluindo três problemas de severidade crítica.
A empresa soube das falhas através de seu programa de divulgação responsável por pesquisadores de segurança na CISA e Akamai, e através da plataforma de bug bounty da HackerOne.
No boletim de segurança, a Ivanti nota que não recebeu nenhum relato sobre a exploração ativa de nenhum dos problemas.
No entanto, recomenda-se que os usuários instalem as atualizações de segurança o quanto antes.
As três vulnerabilidades de segurança crítica corrigidas pela Ivanti incluem:
-
CVE-2025-22467
: Buffer overflow baseado em pilha no ICS permite que atacantes remotos autenticados com baixos privilégios executem código.
(pontuação de severidade crítica de 9.9)
-CVE-2024-38657: Controle externo de um nome de arquivo permite que atacantes remotos autenticados realizem escrita de arquivo arbitrário no ICS e IPS.
(pontuação de severidade crítica de 9.1)
CVE-2024-10644
: Vulnerabilidade de injeção de código permite a execução de código remoto por atacantes remotos autenticados no ICS e IPS.
(pontuação de severidade crítica de 9.1)
A exploração de qualquer um dos três problemas é possível de uma localização remota, mas um atacante precisa estar autenticado.
Além disso, para dois deles, privilégios de admin são necessários para alcançar a execução de código remoto ou para escrever arquivos arbitrários.
Apesar disso, o risco ainda é considerável, já que ameaças internas ou atacantes que tenham roubado credenciais via phishing, violações anteriores ou por meio de força bruta em senhas, ainda podem aproveitar as falhas para operações maliciosas.
Existem também mais cinco falhas inclusas no boletim, variando de severidade média a alta.
Problemas incluem questões de cross-site scripting (XSS), chaves codificadas, armazenamento em texto claro de dados sensíveis e permissões insuficientes.
As vulnerabilidades impactam o ICS 22.7R2.5 e anteriores, IPS 22.7R1.2 e anteriores, e ISAC 22.7R4 e abaixo.
Detalhes sobre quais produtos são impactados por cada falha podem ser vistos na tabela abaixo.
Os problemas foram corrigidos na versão 22.7R2.6 do ICS, versão 22.7R1.3 do IPS, e ISAC 22.8R1, que são os alvos de atualização recomendados para os administradores de sistema.
Ivanti também reconheceu que a questão impacta o Pulse Connect Secure 9.x, mas declarou que não planeja oferecer correções para esses produtos, pois seu período de suporte terminou.
“A versão 9.x do Pulse Connect Secure alcançou o Fim da Engenharia em junho de 2024 e chegou ao Fim-do-Suporte em 31 de dezembro de 2024”, explica a Ivanti.
“Por causa disso, a versão 9.x do Connect Secure não recebe mais correções retroportadas”, acrescentou a empresa, encorajando os clientes a fazerem upgrade para a versão 22.7 do Ivanti Connect Secure.
A Ivanti não forneceu nenhuma mitigação para as falhas corrigidas, e aplicar a última atualização é a solução recomendada.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...