Ivanti, vodeći dobavljač rješenja za IT sigurnost i upravljanje, objavio je izlazak kritičnih ažuriranja za svoje proizvode Ivanti Connect Secure (ICS) i Ivanti Policy Secure (IPS).
Ova ažuriranja rješavaju višestruke ranjivosti srednje jačine koje bi potencijalno mogle ugroziti sigurnost sistema. Od datuma objave, Ivanti je potvrdio da nijedan kupac nije iskoristio ove ranjivosti.
Višestruke ranjivosti su ispravljene
Sigurnosni propusti, identificirani u raznim komponentama ICS-a i IPS-a, variraju u jačini s CVSS ocjenama između 4.9 i 6.6. Ispod je detaljan pregled ispravljenih ranjivosti u najnovijem izdanju:
CVE Broj | Opis | CVSS Ocjena | CWE
——- | ——– | ——– | ——–
CVE-2025-5450 | Nepravilna kontrola pristupa u upravljanju certifikatima omogućava administratorima samo za čitanje da mijenjaju ograničene postavke. | 6.3 (Srednja) | CWE-602
CVE-2025-5451 | Pucanje izvan granica u memoriji (stack-based buffer overflow) koje dovodi do uskraćivanja usluge (denial of service) od strane ovlaštenih administratora. | 4.9 (Srednja) | CWE-121
CVE-2025-5463 | Umetanje osjetljivih informacija u datoteke dnevnika (log files), dostupne lokalnim ovlaštenim napadačima. | 5.5 (Srednja) | CWE-532
CVE-2025-5464 | Sličan problem umetanja u datoteke dnevnika u ICS-u, sa širim opsegom utjecaja. | 6.5 (Srednja) | CWE-532
CVE-2025-0293 | CRLF ubrizgavanje omogućava ovlaštenim administratorima da pišu u zaštićene konfiguracijske datoteke. | 6.6 (Srednja) | CWE-93
CVE-2025-0292 | Server-Side Request Forgery (SSRF) omogućava administratorima pristup internim mrežnim uslugama. | 5.5 (Srednja) | CWE-918
Ove ranjivosti utječu na verzije prije 22.7R2.8 za Ivanti Connect Secure i 22.7R1.5 za Ivanti Policy Secure. Problemi su otkriveni interno ili su prijavljeni kroz Ivanti program odgovornog objavljivanja.
Pogođeni proizvodi i riješene verzije
Ivanti je pozvao korisnike da se ažuriraju na najnovije verzije kako bi ublažili rizike. Pogođene i riješene verzije su sljedeće:
Naziv proizvoda | Pogođene verzije | Riješena verzija | Dostupnost zakrpe
————– | ————— | ————— | —————-
Ivanti Connect Secure (ICS) | 22.7R2.7 i ranije | 22.7R2.8 | Portal za preuzimanje
Ivanti Policy Secure (IPS) | 22.7R1.4 i ranije | 22.7R1.5 | Portal za preuzimanje
Korisnici mogu pristupiti zakrpama putem Ivanti portala za preuzimanje, koji zahtijeva vjerodajnice za prijavu iz sigurnosnih razloga.
Ivanti je naglasio da nema dokaza o aktivnom iskorištavanju ovih ranjivosti u vrijeme javnog objavljivanja. Za kupce zabrinute zbog potencijalnog kompromitovanja, Ivanti napominje da trenutno nema specifičnih pokazatelja kompromitovanja zbog nedostatka poznatih javnih eksploatacija.
Za dodatnu podršku, Ivanti upućuje korisnike na Portal uspjeha (Success Portal), gdje mogu otvoriti slučajeve ili zatražiti pomoć. Važno je napomenuti da uobičajena rješenja u oblaku, kao što su Ivanti Neurons za ZTA i Ivanti Neurons za siguran pristup, nisu pogođena ovim ranjivostima.
Dodatno, Ivanti je pojasnio da neće biti povratnog prijenosa ispravki na starije verzije 9.x Pulse Connect Secure, čija je podrška prestala 31. prosinca 2024. godine. Kupcima na tim verzijama snažno se preporučuje nadogradnja na najnovija ICS izdanja kako bi imali koristi od tekućih poboljšanja sigurnosti.
Ovo sigurnosno ažuriranje naglašava kritičnu potrebu za organizacijama da održavaju ažuran softver kako bi se zaštitile od rastućih kibernetičkih prijetnji. Iako srednja jačina ovih ranjivosti ukazuje na umjereni rizik, potencijal za neovlašteni pristup, curenje podataka i prekide usluga ne može se zanemariti.
Ivanti-jev proaktivni pristup u rješavanju ovih problema interno i kroz odgovorno objavljivanje postavlja pozitivan primjer odgovornosti dobavljača u kibernetičkoj sigurnosti.
Organizacije koje koriste Ivanti Connect Secure i Policy Secure trebaju dati prioritet implementaciji najnovijih zakrpa kako bi zaštitile svoje mreže i osjetljive podatke. Održavanje prednosti u odnosu na potencijalne eksploatacije pridržavanjem preporučenih ciklusa ažuriranja ostaje temelj robusnih praksi IT sigurnosti.