Laburpen exekutiboa
Ivantik buferrak gainezka egiteko kalteberatasun kritikoa identifikatu du Ivanti Connect Secure, Ivanti Policy Secure eta Ivanti ZTA Gateways produktuen barruan. Akats honek erasotzaile urrun bati, autentifikatu beharrik gabe, kodea modu arbitrarioan exekutatzeko aukera ematen dio eragindako sisteman. Impactu potentzialak datuen eta sistemaren konfidentzialtasunaren, integritatearen eta eskuragarritasunaren konpromisoa barne hartzen du, eta horrek gailu ahularen kontrol osoa hartzera eraman dezake. Gomendatzen da arrisku hau arintzeko eskuragarri dauden segurtasun eguneratzeak aplikatzea.
Eragindako baliabideak
- Ivanti Connect Secure (bertsioa 22.7R2.5 eta aurrekoak)
- Pulse Connect Secure 9.1x (Edozein unetan laguntza gabe)
- Ivanti Policy Secure (bertsioa 22.7R1.3 eta aurrekoak)
- Ivanti ZTA Gateways (bertsioa 22.8R2 eta aurrekoak)
Azterketa teknikoa
- CVE-2025-22457: Ivanti Connect Secure-n, 22.7R2.6 bertsioa baino lehen, Ivanti Policy Secure-n, 22.7R1.4 bertsioa baino lehen, eta Ivanti ZTA Gateways-n, 22.8R2.2 bertsioa baino lehen, pilan oinarritutako buffer-overflow batek erasotzaile urrun bati autentifikatu gabe kodea urrun exekutatzeko aukera ematen dio.
- CWE-121
- CVSS: 9.0
- CVSS bideratzailea: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
- Sakontzea: Ez da detektatu
Arintzea/Konponbidea
Ivanti-k gomendatzen du 22.7R2.6 bertsioa aplikatzea Ivanti Connect Secure-rentzat, 2025eko otsailaren 11n kaleratua, CVE-2025-22457-n deskribatutako kritikalitate handiko Kalteberatasuna konpontzeko. Pulse Connect Secure 9.1x bertsio kaltetutakoak dituzten bezeroek Ivanti-rekin harremanetan jarri behar dute plataforma seguru batera migrazioa planifikatzeko, produktu honek laguntza jasotzen ez duelako. Ivanti Policy Secure-rentzako patch bat espero da apirilaren 21ean, eta ZTA Gateways-rentzako patch bat automatikoki aplikatuko da apirilaren 19an. Bezeroei gomendatzen zaie euren gailuak konpromisoaren seinaleak bilatzeko behatzea eta behar izanez gero fabrikako berreskurapena egitea.