Ivanti, Connect Secure ve Policy Secure Ağ Geçitlerini etkileyen dört güvenlik açığının giderilmesi için güvenlik güncellemeleri yayınladı. Bu güvenlik açıkları, kod yürütme ve hizmet reddi saldırılarına neden olabilir. Güncellemeler, kimliği doğrulanmamış kötü niyetli kullanıcıların istekler göndererek hizmeti çökertmesini ve DoS saldırısı gerçekleştirmesini engellemeyi amaçlıyor.
Güvenlik Açıklarının listesi aşağıdaki gibidir:
- CVE-2024-21894 (CVSS puanı: 8.2) – Ivanti Connect Secure (9.x, 22.x) ve Ivanti Policy Secure’un IPSec bileşenindeki bir yığın taşması güvenlik açığı, kimliği doğrulanmamış kötü niyetli bir kullanıcının hizmeti çökertmek için özel olarak hazırlanmış istekler göndermesine ve böylece bir DoS saldırısına neden olmasına olanak tanır. Belirli koşullarda, bu durum keyfi kodun yürütülmesine yol açabilir.
- CVE-2024-22052 (CVSS puanı: 7.5) – Ivanti Connect Secure (9.x, 22.x) ve Ivanti Policy Secure’un IPSec bileşenindeki null pointer dereference güvenlik açığı, kimliği doğrulanmamış kötü niyetli bir kullanıcının hizmeti çökertmek için özel olarak hazırlanmış istekler göndermesine ve böylece bir DoS saldırısına neden olmasına olanak tanır.
- CVE-2024-22053 (CVSS puanı: 8.2) – Ivanti Connect Secure (9.x, 22.x) ve Ivanti Policy Secure’un IPSec bileşenindeki bir yığın taşması güvenlik açığı, kimliği doğrulanmamış kötü niyetli bir kullanıcının hizmeti çökertmek için özel olarak hazırlanmış istekler göndermesine ve böylece bir DoS saldırısına neden olmasına veya belirli koşullarda bellekten içerik okumasına olanak tanır.
- CVE-2024-22023 (CVSS puanı: 5.3) – Ivanti Connect Secure (9.x, 22.x) ve Ivanti Policy Secure’un SAML bileşenindeki bir XML varlık genişletme veya XEE güvenlik açığı, kimliği doğrulanmamış bir saldırganın geçici olarak kaynak tükenmesine neden olmak için özel olarak hazırlanmış XML istekleri göndermesine ve böylece sınırlı süreli bir DoS ile sonuçlanmasına olanak tanır.
Yılın başından bu yana ürünlerindeki güvenlik açıklarıyla boğuşan şirket, “ifşa edildiği sırada bu güvenlik açıklarından yararlanan herhangi bir müşteriden” haberdar olmadığını söyledi.
Gerekli güncellemelerin ivedi bir şekilde sistemlere entegre edilmesi önerilmektedir.