Sintesi

Ivanti rilascia aggiornamenti di sicurezza che risolvono 4 vulnerabilità, di cui 3 con gravità “alta”, nei prodotti Connect Secure e Policy Secure. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato remoto non autenticato di compromettere la disponibilità del servizio, eseguire codice arbitrario e accedere al contenuto della memoria sui dispositivi target.

Tipologia

• Arbitrary Code Execution
• Denial of Service
• Information Disclosure

Prodotti e versioni affette

Ivanti

• Connect Secure, versioni 9.x e 22.x
• Policy Secure, versioni 9.x e 22.x

Azioni di mitigazione

Si raccomanda di aggiornare i prodotti interessati all’ultima versione disponibile seguendo le indicazioni riportate nei bollettini di sicurezza, disponibili nella sezione Riferimenti..

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”:

CVE-2024-21894

CVE-2024-22052

CVE-2024-22053

Riferimenti

https://forums.ivanti.com/s/article/New-CVE-2024-21894-Heap-Overflow-CVE-2024-22052-Null-Pointer-Dereference-CVE-2024-22053-Heap-Overflow-and-CVE-2024-22023-XML-entity-expansion-or-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.