Ivanti đã phát hành các bản cập nhật bảo mật để khắc phục bốn lỗ hổng bảo mật ảnh hưởng đến các cổng Connect Secure và Policy Secure có thể dẫn đến thực thi mã và tấn công từ chối dịch vụ (DoS).
Danh sách các lỗ hổng như sau:
- CVE-2024-21894 (điểm CVSS: 8.2) – Một lỗ hổng tràn bộ nhớ trong thành phần IPSec của Ivanti Connect Secure (phiên bản 9.x, 22.x) và Ivanti Policy Secure cho phép một kẻ tấn công độc hại không xác thực gửi các yêu cầu được tạo một cách đặc biệt để làm sập dịch vụ, gây ra cuộc tấn công DoS. Trong một số điều kiện, điều này có thể dẫn đến việc thực thi mã tùy ý.
- CVE-2024-22052 (điểm CVSS: 7.5) – Một lỗ hổng trỏ đến con trỏ null trong thành phần IPSec của Ivanti Connect Secure (phiên bản 9.x, 22.x) và Ivanti Policy Secure cho phép một kẻ tấn công độc hại không xác thực gửi các yêu cầu được tạo một cách đặc biệt để làm sập dịch vụ, gây ra cuộc tấn công DoS.
- CVE-2024-22053 (điểm CVSS: 8.2) – Một lỗ hổng tràn bộ nhớ trong thành phần IPSec của Ivanti Connect Secure (phiên bản 9.x, 22.x) và Ivanti Policy Secure cho phép một kẻ tấn công độc hại không xác thực gửi các yêu cầu được tạo một cách đặc biệt để làm sập dịch vụ, gây ra cuộc tấn công DoS hoặc trong một số điều kiện đọc nội dung từ bộ nhớ.
- CVE-2024-22023 (điểm CVSS: 5.3) – Một lỗ hổng mở rộng thực thể XML hoặc XEE trong thành phần SAML của Ivanti Connect Secure (phiên bản 9.x, 22.x) và Ivanti Policy Secure cho phép một kẻ tấn công không xác thực gửi các yêu cầu XML được tạo một cách đặc biệt để tạm thời gây ra kiệt quệ tài nguyên, dẫn đến tình trạng DoS trong thời gian giới hạn.
Công ty, sau khi phải đối mặt với một luồng liên tục các lỗ hổng bảo mật trong sản phẩm của mình từ đầu năm, cho biết họ không nhận thấy “bất kỳ khách hàng nào bị khai thác bởi những lỗ hổng này tại thời điểm tiết lộ.”
Cuối tháng trước, Ivanti đã phát hành các bản vá bảo mật để khắc phục nhược điểm nghiêm trọng trong sản phẩm Standalone Sentry của họ (CVE-2023-41724, điểm CVSS: 9.6) có thể cho phép một kẻ tấn công không xác thực thực thi các lệnh tùy ý trên hệ điều hành cơ bản.
Họ cũng đã giải quyết một lỗ hổng nghiêm trọng khác ảnh hưởng đến các phiên bản on-premises của Neurons for ITSM (CVE-2023-46808, điểm CVSS: 9.9) mà một kẻ tấn công từ xa đã xác thực có thể lợi dụng để thực hiện viết tệp tùy ý và thực hiện mã.
Trong một lá thư mở được công bố vào ngày 3 tháng 4 năm 2023, Giám đốc điều hành của Ivanti, Jeff Abbott, nói rằng công ty đang xem xét kỹ về tư thế và quy trình của mình để đáp ứng yêu cầu của cảnh quan đe dọa hiện tại.
Abbott nói: “sự kiện trong những tháng gần đây đã khiến chúng ta nhận ra” và rằng họ đang thực hiện một kế hoạch thay đổi mô hình hoạt động bảo mật của mình bằng cách áp dụng nguyên tắc an toàn theo thiết kế, chia sẻ thông tin với khách hàng một cách hoàn toàn minh bạch và tái kiến trúc các quy trình kỹ thuật, bảo mật và quản lý lỗ hổng.
Abbott chia sẻ: “Chúng tôi đang tăng cường khả năng quét nội bộ, khai thác thủ công và kiểm tra, hợp tác với các bên thứ ba đáng tin cậy để bổ sung nghiên cứu nội bộ của chúng tôi và tạo điều kiện cho việc tiết lộ trách nhiệm về lỗ hổng với các động thái khuyến khích hơn xung quanh chương trình bug bounty nâng cao.”
