Ivantik eguneraketa bat argitaratu du Ivanti Connect Secure, Policy Secure eta ZTA Gateways-en 2 kalteberatasun zuzentzeko. CVE-2025-0282, kritikotzat jotzen dena, baimenik gabeko urruneko kode exekuzioa ahalbidetzen du, eta CVE-2025-0283, larritasun handikoa, erabiltzaile autentifikatu batek pribilegioak handitzea ahalbidetu lezake. CVE-2025-0282ren ustiapen mugatua hauteman da Ivanti Connect Secure gailuetan, baina ez dago Policy Secure edo ZTA Gateways-en ustiapen txostenik. Patch-ak eskuragarri daude edo 2025eko urtarrilaren 21ean argitaratuko dira, produktuaren arabera. Ivantik gomendatzen du eguneraketak aplikatzea, Integrity Checker Tool (ICT) erabiltzea konpromisoak identifikatzeko eta, behar izanez gero, fabrika-berrezarpena egitea bertsio eguneratuak ezarri aurretik, sistemak etengabe monitorizatuz haien segurtasuna bermatzeko.
Kaltetutako baliabideak
- Ivanti Connect Secure (22.7R2tik 22.7R2.4ra arteko bertsioak)
- Ivanti Policy Secure (22.7R1tik 22.7R1.2ra arteko bertsioak)
- Ivanti Neurons for ZTA gateways (22.7R2tik 22.7R2.3ra arteko bertsioak)
Analisi teknikoa
- CVE-2025-0282: Ivanti Connect Secure 22.7R2.5 bertsioa baino lehenagoko, Ivanti Policy Secure 22.7R1.2 bertsioa baino lehenagoko eta Ivanti Neurons for ZTA Gateways 22.7R2.3 bertsioa baino lehenagoko bertsioetan identifikatutako pila-oinarritutako buffer gainidatziaren kalteberatasuna. Kalteberatasun honek baimenik gabeko urruneko eraso bat egiteko aukera ematen du.
- CWE-121
- CVSS: 9.0
- CVSS bektorea: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
- Ustiapena: Detektatua
- CVE-2025-0283: Ivanti Connect Secure 22.7R2.5 bertsioa baino lehenagoko, Ivanti Policy Secure 22.7R1.2 bertsioa baino lehenagoko eta Ivanti Neurons for ZTA Gateways 22.7R2.3 bertsioa baino lehenagoko bertsioetan identifikatutako pila-oinarritutako buffer gainidatziaren kalteberatasuna. Kalteberatasun honek tokiko erabiltzaile autentifikatu batek pribilegioak handitzeko aukera ematen du.
- CWE-121
- CVSS: 7.0
- CVSS bektorea: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
- Ustiapena: Ez detektatua
Arintzea / Soluzioa
Ivantik gomendatzen du produktu kaltetuen bertsio eguneratuak instalatzea identifikatutako kalteberatasun kritikoak eta larriak konpontzeko. Ivanti Connect Secure produkturako, bertsioa 22.7R2.5-ra eguneratu behar da. Sistemaren osotasuna egiaztatzeko Integrity Checker Tool (ICT) tresnarekin eskaneatzea gomendatzen da eguneratze aurretik eta ondoren. Ivanti Policy Secure eta Ivanti Neurons for ZTA Gateways produktuentzako, patch-ak 2025eko urtarrilaren 21etik aurrera egongo dira eskuragarri. Ivantik gomendatzen du Policy Secure produktua Internetera ez konektatzea ustiapen-arriskua minimizatzeko.
Erreferentzia osagarriak