Kompanija Ivanti, vodeći pružalac rješenja za IT sigurnost i upravljanje, objavila je izdavanje kritičnih ažuriranja za svoje proizvode Ivanti Connect Secure (ICS) i Ivanti Policy Secure (IPS). Ova ažuriranja rješavaju brojne ranjivosti srednje jačine koje bi potencijalno mogle ugroziti sigurnost sistema. Do datuma objelodanjivanja, Ivanti je potvrdio da nijedan kupac nije iskoristio ove ranjivosti.
Višestruke ranjivosti su zakrpljene, a identificirani sigurnosni propusti, koji se protežu kroz razne komponente ICS-a i IPS-a, rangirani su po jačini sa CVSS ocjenama između 4.9 i 6.6. Detaljna analiza otkrivenih ranjivosti u najnovijem izdanju uključuje:
* **CVE-2025-5450:** Nepravilna kontrola pristupa u upravljanju certifikatima omogućava administratorima sa samo čitaljivim pravima da mijenjaju ograničena podešavanja. Ova ranjivost ima CVSS ocjenu 6.3 (srednja) i klasifikovana je pod CWE-602.
* **CVE-2025-5451:** Prekoračenje bafera zasnovano na steku koje dovodi do uskraćivanja usluge od strane autentifikovanih administratora. Jačina ove ranjivosti je 4.9 (srednja) i povezana je sa CWE-121.
* **CVE-2025-5463:** Umetanje osjetljivih informacija u log datoteke, dostupno lokalnim autentifikovanim napadačima. Ova ranjivost ima ocjenu 5.5 (srednja) i spada pod CWE-532.
* **CVE-2025-5464:** Sličan problem umetanja u log datoteke u ICS-u, sa širim opsegom uticaja. Jačina je 6.5 (srednja) i pripada CWE-532.
* **CVE-2025-0293:** CRLF injekcija koja omogućava autentifikovanim administratorima da pišu u zaštićene konfiguracijske datoteke. Ova ranjivost ima ocjenu 6.6 (srednja) i klasifikovana je kao CWE-93.
* **CVE-2025-0292:** Server-Side Request Forgery (SSRF) koja omogućava administratorima pristup internim mrežnim uslugama. Jačina ove ranjivosti je 5.5 (srednja) i povezana je sa CWE-918.
Ove ranjivosti pogađaju verzije prije 22.7R2.8 za Ivanti Connect Secure i 22.7R1.5 za Ivanti Policy Secure. Problemi su ili interno otkriveni ili prijavljeni kroz program odgovornog objavljivanja kompanije Ivanti.
Uticajni proizvodi i razriješene verzije: Ivanti je pozvao korisnike da se ažuriraju na najnovije verzije kako bi umanjili rizike. Pogođene i razriješene verzije su sljedeće:
* **Ivanti Connect Secure (ICS):** Pogođene verzije su 22.7R2.7 i starije, a razriješena verzija je 22.7R2.8. Ažuriranje je dostupno putem portala za preuzimanje.
* **Ivanti Policy Secure (IPS):** Pogođene verzije su 22.7R1.4 i starije, a razriješena verzija je 22.7R1.5. Ažuriranje je dostupno putem portala za preuzimanje.
Korisnici mogu pristupiti zakrpama putem Ivanti-jevog portala za preuzimanje, koji zahtijeva vjerodajnice za pristup iz sigurnosnih razloga. Ivanti je naglasio da u vrijeme javnog objelodanjivanja nema dokaza o aktivnom iskorištavanju ovih ranjivosti. Za kupce zabrinute zbog potencijalnog kompromitovanja, Ivanti napominje da trenutno nema specifičnih pokazatelja kompromitovanja zbog nedostatka poznatih javnih eksploatacija. Za dodatnu podršku, Ivanti upućuje korisnike na Success Portal, gdje mogu prijaviti slučajeve ili zatražiti pomoć. Važno je napomenuti da cloud rješenja poput Ivanti Neurons for ZTA i Ivanti Neurons for Secure Access nisu pogođena ovim ranjivostima.
Dodatno, Ivanti je pojasnio da neće biti retroaktivnog zakrpljivanja za starije verzije 9.x Pulse Connect Secure, koje su dosegle kraj podrške 31. decembra 2024. godine. Kupcima na tim verzijama se snažno savjetuje nadogradnja na najnovija ICS izdanja kako bi iskoristili tekuća sigurnosna poboljšanja. Ovo sigurnosno ažuriranje naglašava kritičnu potrebu za organizacijama da održavaju ažuriran softver kako bi se zaštitile od rastućih kibernetičkih prijetnji. Iako srednja jačina ovih ranjivosti sugerira umjereni rizik, potencijal za neovlašteni pristup, izlaganje podataka i prekide usluga ne može se zanemariti. Proaktivni pristup Ivantija u rješavanju ovih problema interno i kroz odgovorno objavljivanje postavlja pozitivan primjer odgovornosti dobavljača u kibernetičkoj sigurnosti. Organizacije koje koriste Ivanti Connect Secure i Policy Secure trebaju dati prioritet implementaciji najnovijih zakrpa kako bi zaštitile svoje mreže i osjetljive podatke. Ostati ispred potencijalnih eksploatacija pridržavanjem preporučenih ciklusa ažuriranja ostaje temelj robusnih IT sigurnosnih praksi.
