Ivanti, vodeći pružalac IT sigurnosnih i upravljačkih rješenja, objavio je izdavanje kritičnih ažuriranja za svoje proizvode Ivanti Connect Secure (ICS) i Ivanti Policy Secure (IPS). Ova ažuriranja rješavaju višestruke ranjivosti srednje težine koje bi potencijalno mogle ugroziti sigurnost sistema. Od datuma objave, Ivanti je potvrdio da nijedan kupac nije iskoristio ove ranjivosti.
**Zakrpano Višestruke Ranjivosti**
Sigurnosni propusti, identifikovani u raznim komponentama ICS-a i IPS-a, variraju u težini sa CVSS ocjenama između 4.9 i 6.6. Ispod je detaljan pregled ranjivosti zakrpljenih u najnovijem izdanju:
* **CVE-2025-5450**: Nepravilna kontrola pristupa u upravljanju certifikatima omogućava administratorima samo za čitanje da mijenjaju ograničene postavke. CVSS ocjena: 6.3 (Srednja). CWE: CWE-602.
* **CVE-2025-5451**: Preljev međuspremnika baziran na stogu koji dovodi do uskraćivanja usluge od strane ovlaštenih administratora. CVSS ocjena: 4.9 (Srednja). CWE: CWE-121.
* **CVE-2025-5463**: Umetanje osjetljivih informacija u datoteke dnevnika, dostupne lokalnim ovlaštenim napadačima. CVSS ocjena: 5.5 (Srednja). CWE: CWE-532.
* **CVE-2025-5464**: Sličan problem umetanja datoteka dnevnika u ICS, sa širim opsegom utjecaja. CVSS ocjena: 6.5 (Srednja). CWE: CWE-532.
* **CVE-2025-0293**: CRLF injekcija omogućava ovlaštenim administratorima da pišu u zaštićene konfiguracijske datoteke. CVSS ocjena: 6.6 (Srednja). CWE: CWE-93.
* **CVE-2025-0292**: Server-Side Request Forgery (SSRF) omogućava administratorima pristup internim mrežnim uslugama. CVSS ocjena: 5.5 (Srednja). CWE: CWE-918.
Ove ranjivosti utječu na verzije prije 22.7R2.8 za Ivanti Connect Secure i 22.7R1.5 za Ivanti Policy Secure. Problemi su otkriveni interno ili prijavljeni kroz Ivanti-jev program odgovornog otkrivanja.
**Pogođeni Proizvodi i Riješene Verzije**
Ivanti je pozvao korisnike da ažuriraju na najnovije verzije kako bi umanjili rizike. Pogođene i riješene verzije su sljedeće:
* **Ivanti Connect Secure (ICS)**: Pogođene verzije: 22.7R2.7 i ranije. Riješena verzija: 22.7R2.8. Zakrpa dostupna putem Download Portala.
* **Ivanti Policy Secure (IPS)**: Pogođene verzije: 22.7R1.4 i ranije. Riješena verzija: 22.7R1.5. Zakrpa dostupna putem Download Portala.
Korisnici mogu pristupiti zakrpama putem Ivanti-jevog portala za preuzimanje, koji zahtijeva vjerodajnice za prijavu iz sigurnosnih razloga.
Ivanti je naglasio da nema dokaza o aktivnom iskorištavanju ovih ranjivosti u vrijeme javnog objavljivanja. Za kupce zabrinute zbog potencijalnog kompromitiranja, Ivanti napominje da trenutno nisu dostupni specifični pokazatelji kompromitacije zbog nedostatka poznatih javnih eksploatacija.
Za dodatnu podršku, Ivanti upućuje korisnike na Portal za uspjeh, gdje mogu prijaviti slučajeve ili zatražiti pomoć. Važno je napomenuti da rješenja temeljena na oblaku, poput Ivanti Neurons za ZTA i Ivanti Neurons za siguran pristup, nisu pogođena ovim ranjivostima.
Dodatno, Ivanti je pojasnio da se nikakve ispravke neće retroaktivno primjenjivati na starije 9.x verzije Pulse Connect Secure, čija je podrška prestala 31. decembra 2024. godine. Kupcima na tim verzijama se snažno preporučuje nadogradnja na najnovija ICS izdanja kako bi imali koristi od tekućih sigurnosnih poboljšanja.
Ovo sigurnosno ažuriranje naglašava kritičnu potrebu da organizacije održavaju ažuriran softver kako bi se zaštitile od rastućih cyber prijetnji. Iako srednja ocjena težine ovih ranjivosti sugerira umjereni rizik, potencijal za neovlašteni pristup, izlaganje podataka i prekide usluga ne može se zanemariti.
Proaktivni pristup Ivanti u rješavanju ovih problema interno i kroz odgovorno objavljivanje postavlja pozitivan primjer odgovornosti dobavljača u cyber sigurnosti.
Organizacije koje koriste Ivanti Connect Secure i Policy Secure trebale bi dati prioritet implementaciji najnovijih zakrpa kako bi zaštitile svoje mreže i osjetljive podatke. Ostajanje ispred potencijalnih eksploatacija pridržavanjem preporučenih ciklusa ažuriranja ostaje kamen temeljac robusnih praksi IT sigurnosti.
