Ivanti ha publicado actualizaciones de seguridad para abordar cuatro fallas de seguridad que afectan a Connect Secure y Policy Secure Gateways y que podrían provocar la ejecución de código y denegación de servicio (DoS).
La lista de defectos es la siguiente:
- CVE-2024-21894 (Puntuación CVSS: 8.2): una vulnerabilidad de desbordamiento de montón en el componente IPSec de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure permite que un usuario malintencionado no autenticado envíe solicitudes especialmente diseñadas para bloquear el servicio, lo que provoca un ataque DoS. En determinadas condiciones, esto puede dar lugar a la ejecución de código arbitrario.
- CVE-2024-22052 (Puntuación CVSS: 7,5): una vulnerabilidad de desreferencia de puntero nulo en el componente IPSec de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure permite que un usuario malintencionado no autenticado envíe solicitudes especialmente diseñadas para bloquear el servicio, lo que provoca un ataque DoS.
- CVE-2024-22053 (Puntuación CVSS: 8.2): una vulnerabilidad de desbordamiento de montón en el componente IPSec de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure permite que un usuario malintencionado no autenticado envíe solicitudes especialmente diseñadas para bloquear el servicio, lo que provoca un ataque DoS o, en determinadas condiciones, leer contenidos de la memoria.
- CVE-2024-22023 (Puntuación CVSS: 5.3) – Una expansión de entidad XML o vulnerabilidad XEE en el componente SAML de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure permite que un atacante no autenticado envíe solicitudes XML especialmente diseñadas para provocar temporalmente un recurso. agotamiento, lo que resulta en una DoS por tiempo limitado.
La compañía, que ha estado lidiando con un flujo constante de fallas de seguridad en sus productos desde principios de año, dicho no tiene conocimiento de que «ningún cliente haya sido explotado por estas vulnerabilidades en el momento de la divulgación».
A finales del mes pasado, Ivanti enviado parches para deficiencias críticas en su producto Standalone Sentry (CVE-2023-41724, puntuación CVSS: 9.6) que podrían permitir que un actor de amenazas no autenticado ejecute comandos arbitrarios en el sistema operativo subyacente.
También resolvió otra falla crítica que afectaba las versiones locales de Neurons for ITSM (CVE-2023-46808, puntuación CVSS: 9.9) que un atacante remoto autenticado podría abusar para realizar escrituras de archivos arbitrarias y obtener ejecución de código.
En una carta abierta publicada el 3 de abril de 2023, el director ejecutivo de Ivanti, Jeff Abbott dicho La empresa está «observando de cerca» su propia postura y procesos para cumplir con los requisitos del panorama de amenazas actual.
Abbott también dijo que «los acontecimientos de los últimos meses han sido humillantes» y que está ejecutando un plan que esencialmente cambia su modelo operativo de seguridad al adoptar principios de seguridad por diseñocompartir información con los clientes con total transparencia y rediseñar sus prácticas de ingeniería, seguridad y gestión de vulnerabilidades.
«Estamos intensificando nuestras capacidades de escaneo interno, explotación manual y prueba, involucrando a terceros confiables para aumentar nuestra investigación interna y facilitando la divulgación responsable de vulnerabilidades con mayores incentivos en torno a un programa mejorado de recompensas por errores», dijo Abbott.