Ivanti ha rilasciato aggiornamenti di sicurezza per correggere quattro vulnerabilità nei suoi prodotti Connect Secure e Policy Secure Gateways, che potrebbero portare all’esecuzione di codice arbitrario e a attacchi denial-of-service (DoS). Le vulnerabilità individuate sono le seguenti:
CVE-2024-21894 (punteggio CVSS: 8.2): Una vulnerabilità di overflow dello heap nell’elemento IPSec di Ivanti Connect Secure (versioni 9.x, 22.x) e Ivanti Policy Secure consente a un malintenzionato non autenticato di inviare richieste specificamente formulate per provocare il crash del servizio, causando così un attacco DoS. In determinate condizioni, ciò può portare all’esecuzione di codice arbitrario.
CVE-2024-22052 (punteggio CVSS: 7.5): Una vulnerabilità per dereferenziazione di puntatore nullo nell’elemento IPSec di Ivanti Connect Secure (versioni 9.x, 22.x) e Ivanti Policy Secure permette a un malintenzionato non autenticato di inviare richieste specificamente formulate per provocare il crash del servizio, causando così un attacco DoS.
CVE-2024-22053 (punteggio CVSS: 8.2): Una vulnerabilità di overflow dello heap nell’elemento IPSec di Ivanti Connect Secure (versioni 9.x, 22.x) e Ivanti Policy Secure consente a un malintenzionato non autenticato di inviare richieste specificamente formulate per provocare il crash del servizio, causando così un attacco DoS o, in certe condizioni, la lettura di contenuti dalla memoria.
CVE-2024-22023 (punteggio CVSS: 5.3): Una vulnerabilità di espansione delle entità XML in SAML componente di Ivanti Connect Secure (versioni 9.x, 22.x) e Ivanti Policy Secure consente a un attaccante non autenticato di inviare richieste XML specificamente formulate per causare temporaneamente l’esaurimento delle risorse, risultando in un DoS di durata limitata.
Ivanti, che da inizio anno è alle prese con una costante serie di falle di sicurezza nei suoi prodotti, ha dichiarato di non essere a conoscenza di “clienti che siano stati sfruttati da queste vulnerabilità al momento della divulgazione”.
Nell’ultimo periodo, Ivanti ha rilasciato patch per una grave lacuna nel suo prodotto Standalone Sentry (CVE-2023-41724, punteggio CVSS: 9.6) che potrebbe consentire a un aggressore non autenticato di eseguire comandi arbitrari sul sistema operativo sottostante. Ha inoltre risolto un’altra vulnerabilità critica che impatta sulle versioni on-premises di Neurons for ITSM (CVE-2023-46808, punteggio CVSS: 9.9), che un aggressore remoto autenticato potrebbe sfruttare per eseguire scritture di file arbitrarie e ottenere l’esecuzione di codice.
La risposta dell’azienda
Jeff Abbott, CEO di Ivanti, in una lettera aperta pubblicata il 3 aprile 2023, ha affermato che l’azienda sta esaminando attentamente la propria postura e i propri processi per rispondere alle esigenze dell’attuale panorama delle minacce. Abbott ha inoltre dichiarato che “gli eventi degli ultimi mesi sono stati umilianti” e che l’azienda sta attuando un piano che cambia sostanzialmente il suo modello operativo di sicurezza adottando principi secure-by-design, condividendo informazioni con i clienti con totale trasparenza e ristrutturando le proprie pratiche ingegneristiche, di sicurezza e di gestione delle vulnerabilità.
Ivanti sta intensificando le proprie capacità di scansione interna, sfruttamento manuale e test, coinvolgendo terze parti fidate per ampliare la propria ricerca interna e facilitando la divulgazione responsabile delle vulnerabilità con incentivi maggiori attorno a un programma di bug bounty potenziato.