Разработчики призывают срочно установить патчи для новой уязвимости в продуктах Ivanti

Компания Ivanti сообщила о новой уязвимости обхода аутентификации, затрагивающей Connect Secure, Policy Secure и шлюзы ZTA. Разработчики призывают администраторов немедленно установить патчи на свои устройства.

Уязвимость получила идентификатор CVE-2024-22024 и связана с недостатком в XXE (XML eXternal Entities) в компоненте SAML шлюзов. Баг позволяет удаленным злоумышленникам получать доступ к ограниченным ресурсам на непропатченных устройствах. При этом атаки не требуют взаимодействия с пользователем или аутентификации.

Специалисты Shadowserver в настоящее время отслеживают более 20 000 VPN-шлюзов Connect Secure, доступных через интернет. Из них более 6 000 находятся в США.

Нужно отметить, что уязвимость CVE-2024-22024 стала далеко не первой проблемой, найденной в продуктах Ivanti за последние недели. Так, с декабря 2023 года VPN-устройства Ivanti подвергаются хакерским атакам с использованием уязвимости обхода аутентификации (CVE-2023-46805) и инъекциям команд (CVE-2024-21887).

Еще один 0-day, уже взятый на вооружение злоумышленниками, представляет собой SSRF-баг CVE-2024-21893, проявляющийся на стороне сервера в компоненте SAML. Эта проблема была обнаружена в начале февраля 2024 года.

Напомним, что ранее Ivanti призвала клиентов сбросить все уязвимые устройства к заводским настройкам перед установкой патчей, чтобы помешать попыткам злоумышленников закрепиться в сети между обновлениями.

Источник: Хакер