Kritické bezpečnostné zraniteľnosti v produktoch Ivanti CSA, ICS a IPS

Spoločnosť Ivanti vydala bezpečnostné aktualizácie, ktoré opravujú 8 bezpečnostných zraniteľností v produktoch Ivanti Cloud Services Application (CSA), Ivanti Desktop and Server Management (DSM), Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS), Sentry a Patch SDK, z čoho 5 je označených ako kritické. Kritické zraniteľnosti v produktoch CSA, ICS a IPS možno zneužiť na SQL injekciu, vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom. Ostatné zraniteľnosti možno zneužiť na zneprístupnenie služby, vykonanie neoprávnených zmien v systéme a obídenie bezpečnostných mechanizmov.

Zraniteľné systémy:

• Ivanti Cloud Services Application vo verziách starších ako 5.0.3
• Ivanti Desktop and Server Management vo verziách starších ako 2024.3.5740
• Ivanti Connect Secure vo verziách starších ako 22.7R2.4
• Ivanti Policy Secure vo verziách starších ako 22.7R1.2
• Ivanti Sentry 9.20.X vo verziách starších ako 9.20.2
• Ivanti Sentry 10.0.X vo verziách starších ako 10. 0.2
• Ivanti Patch SDK vo verziách starších ako 9.7.703

Pozn.: Zraniteľné verzie Ivanti Patch SDK sú používané v nasledujúcich produktoch:

• Ivanti Endpoint Manager 2022 SU6 bez bezpečnostných záplat z novembra 2024
• Ivanti Endpoint Manager 2024 bez bezpečnostných záplat z novembra 2024
• Ivanti Security Controls (iSec) vo verziách starších ako 2024.4 (9.6.9375.0)
• Ivanti Patch for Configuration Manager vo verziách starších ako 2024.4 (2.5.1129.0)
• Ivanti Neurons for Patch Management vo verziách starších ako 2024.4 (1.1.67.0)
• Ivanti Neurons Agent Platform vo verziách starších ako 2024.4 (9.6.839)

Opis zraniteľnosti:

Ivanti Cloud Services Application (CSA):

CVE-2024-11639   (CVSS skóre 10,0)

Najzávažnejšia zraniteľnosť spočíva v nedostatočnej implementácie mechanizmov autentifikácie a vzdialený neautentifikovaný útočník by ju mohol zneužiť na získanie administrátorského prístupu do systému.

CVE-2024-11772, CVE-2024-11773  (CVSS skóre 9,1)

Kritické zraniteľnosti vo webovej administrátorskej konzole by vzdialený autentifikovaný útočník s oprávneniami administrátora mohol zneužiť na realizáciu SQL injekcie (CVE-2024-11773) a vzdialené vykonanie kódu (CVE-2024-11772).

Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS):

CVE-2024-11633, CVE-2024-11634 (CVSS skóre 9,1)

Bližšie nešpecifikované kritické zraniteľnosti by vzdialený autentifikovaný útočník s oprávneniami administrátora prostredníctvom injekcie argumentov (CVE-2024-11633) a injekcie príkazov (CVE-2024-11634) mohol zneužiť na vzdialené vykonanie kódu.

Ostatné vysoko závažné zraniteľnosti v ICS a IPS umožňujú zneprístupnenie služby (CVE-2024-37377, CVE-2024-37401) a obídenie bezpečnostných mechanizmov (CVE-2024-9844).

Ivanti Desktop and Server Management (DSM):

CVE-2024-7572 (CVSS skóre 7,1)

Vysoko závažná zraniteľnosť spočíva v nesprávnom nastavení oprávnení a lokálny autentifikovaný útočník by ju mohol zneužiť na zmazanie súborov na súborovom systéme, ktoré môže mať za následok úplné narušenie integrity a dostupnosti zraniteľných systémov.

Ivanti Sentry:

CVE-2024-8540  (CVSS skóre 8,8)

Nesprávne nastavenie oprávnení by lokálny autentifikovaný útočník mohol zneužiť na vykonanie neoprávnených zmien kritických komponentov aplikácie a získanie úplnej kontroly nad systémom.

Ivanti Patch SDK:

CVE-2024-10256   (CVSS skóre 7,1)

Zraniteľnosť v Patch SDK umožňuje lokálnemu autentifikovanému útočníkov zmazať súbory na súborovom systéme a spôsobiť tým úplné narušenie integrity a dostupnosti zraniteľných systémov. Nakoľko je Ivanti Patch SDK využívané aj v rámci produktov Ivanti Endpoint Manager, Ivanti Security Controls (iSec), Ivanti Patch for Configuration Manager a Ivanti Neurons Agent Platform, zraniteľné sú všetky verzie týchto produktov využívajúce zraniteľné SDK. Presný zoznam zraniteľných verzií môžete nájsť vyššie v časti Zraniteľné systémy alebo na stránke výrobcu.

Možné škody:

• Vzdialené vykonanie kódu
• Neoprávnená zmena v systéme
• Zneprístupnenie služby
• Obídenie bezpečnostných mechanizmov
• Získanie úplnej kontroly nad systémom

Odporúčania:

Výrobca odporúča používať len verzie s platnou technickou podporou a zasiahnuté systémy bezodkladne aktualizovať na najnovšie verzie. Konkrétne verzie produktov a návod na inštaláciu aktualizácií môžete nájsť na stránkach výrobcu v časti Zdroje.

Zdroje:

• https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Cloud-Services-Application-CSA-CVE-2024-11639-CVE-2024-11772-CVE-2024-11773
• https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Desktop-and-Server-Management-DSM-CVE-2024-7572
• https://forums.ivanti.com/s/article/December-2024-Security-Advisory-Ivanti-Connect-Secure-ICS-and-Ivanti-Policy-Secure-IPS-Multiple-CVEs
• https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Sentry-CVE-2024-8540
• https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Patch-SDK-CVE-2024-10256
• https://thehackernews.com/2024/12/ivanti-issues-critical-security-updates.html