Ivanti, vodeći pružalac IT sigurnosnih i menadžment rješenja, objavio je važna ažuriranja za svoje proizvode Ivanti Connect Secure (ICS) i Ivanti Policy Secure (IPS). Ova ažuriranja rješavaju više ranjivosti srednjeg stepena ozbiljnosti koje bi potencijalno mogle ugroziti sigurnost sistema. Ivanti je potvrdio da do datuma objave nijedan kupac nije iskoristio ove ranjivosti.
Zahvaćeno je više ranjivosti koje se prostiru kroz razne komponente ICS-a i IPS-a, sa CVSS ocjenama koje variraju između 4.9 i 6.6. Detaljan pregled zakrpljenih ranjivosti u najnovijem izdanju uključuje:
CVE-2025-5450: Nepravilna kontrola pristupa u upravljanju sertifikatima omogućava administratorima samo za čitanje da mijenjaju ograničena podešavanja. Ocjena ozbiljnosti: 6.3 (Srednja), CWE: CWE-602.
CVE-2025-5451: Prekoračenje bafera zasnovano na steku dovodi do uskraćivanja usluge od strane ovlaštenih administratora. Ocjena ozbiljnosti: 4.9 (Srednja), CWE: CWE-121.
CVE-2025-5463: Umetanje osjetljivih informacija u datoteke dnevnika, dostupne lokalnim ovlaštenim napadačima. Ocjena ozbiljnosti: 5.5 (Srednja), CWE: CWE-532.
CVE-2025-5464: Sličan problem umetanja u datoteke dnevnika u ICS-u, sa širim uticajem. Ocjena ozbiljnosti: 6.5 (Srednja), CWE: CWE-532.
CVE-2025-0293: CRLF injekcija omogućava ovlaštenim administratorima da pišu u zaštićene konfiguracijske datoteke. Ocjena ozbiljnosti: 6.6 (Srednja), CWE: CWE-93.
CVE-2025-0292: Server-Side Request Forgery (SSRF) omogućava administratorima pristup internim mrežnim uslugama. Ocjena ozbiljnosti: 5.5 (Srednja), CWE: CWE-918.
Ove ranjivosti utiču na verzije starije od 22.7R2.8 za Ivanti Connect Secure i 22.7R1.5 za Ivanti Policy Secure. Problemi su otkriveni interno ili su prijavljeni kroz program odgovorne objave kompanije Ivanti.
Ivanti je pozvao korisnike da ažuriraju na najnovije verzije kako bi ublažili rizike. Pogođene i riješene verzije su sljedeće:
Ivanti Connect Secure (ICS): Verzije 22.7R2.7 i ranije, riješeno u verziji 22.7R2.8. Zakrpa je dostupna putem Portala za preuzimanje.
Ivanti Policy Secure (IPS): Verzije 22.7R1.4 i ranije, riješeno u verziji 22.7R1.5. Zakrpa je dostupna putem Portala za preuzimanje.
Korisnici mogu pristupiti zakrpama putem Ivanti portala za preuzimanje, koji zahtijeva akreditive za prijavu radi sigurnosti.
Ivanti je naglasio da u vrijeme javnog objavljivanja nema dokaza o aktivnom iskorištavanju ovih ranjivosti. Za kupce zabrinute zbog potencijalnog kompromitovanja, Ivanti napominje da trenutno nisu dostupni specifični pokazatelji kompromitovanja zbog nedostatka poznatih javnih eksploatacija.
Za dodatnu podršku, Ivanti upućuje korisnike na Success Portal, gdje mogu prijaviti slučajeve ili zatražiti pomoć. Važno je napomenuti da ranjivosti ne utiču na rješenja zasnovana na oblaku kao što su Ivanti Neurons for ZTA i Ivanti Neurons for Secure Access.
Dodatno, Ivanti je pojasnio da se neće vršiti vraćanje ispravki na starije verzije 9.x Pulse Connect Secure, kojima je istekao rok podrške 31. decembra 2024. godine. Korisnicima ovih verzija se snažno savjetuje da nadograde na najnovija ICS izdanja kako bi iskoristili tekuća sigurnosna poboljšanja.
Ovo sigurnosno ažuriranje naglašava kritičnu potrebu za organizacijama da održavaju ažuriran softver kako bi se zaštitile od rastućih cyber prijetnji. Iako srednji stepen ozbiljnosti ovih ranjivosti ukazuje na umjeren rizik, potencijal za neovlašteni pristup, otkrivanje podataka i prekide usluga ne može se zanemariti.
Proaktivni pristup Ivanti-ja u rješavanju ovih problema interno i kroz odgovorno objavljivanje predstavlja pozitivan primjer odgovornosti prodavača u oblasti kibernetičke sigurnosti. Organizacije koje koriste Ivanti Connect Secure i Policy Secure trebaju dati prioritet implementaciji najnovijih zakrpa kako bi zaštitile svoje mreže i osjetljive podatke. Ostanak ispred potencijalnih eksploatacija, pridržavanjem preporučenih ciklusa ažuriranja, ostaje kamen temeljac robusnih IT sigurnosnih praksi.