Ivanti ha alertado a los clientes sobre otra falla de seguridad de alta gravedad en sus dispositivos de puerta de enlace Connect Secure, Policy Secure y ZTA que podría permitir a los atacantes eludir la autenticación.
El problema, rastreado como CVE-2024-22024tiene una calificación de 8,3 sobre 10 en el sistema de puntuación CVSS.
«Una entidad externa XML o vulnerabilidad XXE en el componente SAML de Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) y puertas de enlace ZTA que permite a un atacante acceder a ciertos recursos restringidos sin autenticación», la empresa dicho en un aviso.
La compañía dijo que descubrió la falla durante una revisión interna como parte de su investigación en curso sobre múltiples debilidades de seguridad en los productos que han salido a la luz desde principios de año, incluyendo CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 y CVE-2024-21893.
CVE-2024-22024 afecta a las siguientes versiones de los productos:
- Ivanti Connect Secure (versiones 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 y 22.5R1.1)
- Política segura de Ivanti (versión 22.5R1.1)
- ZTA (versión 22.6R1.3)
Los parches para el error están disponibles en las versiones 9.1R14.5, 9.1R17.3, 9.1R18.4, 22.4R2.3, 22.5R1.2, 22.5R2.3 y 22.6R2.2 de Connect Secure; Política segura versiones 9.1R17.3, 9.1R18.4 y 22.5R1.2; y versiones ZTA 22.5R1.6, 22.6R1.5 y 22.6R1.7.
Ivanti dijo que no hay evidencia de explotación activa de la falla, pero con CVE-2023-46805, CVE-2024-21887y CVE-2024-21893 Al estar bajo abuso generalizado, es imperativo que los usuarios actúen rápidamente para aplicar las últimas correcciones.