Ivanti ha identificado múltiples vulnerabilidades en sus productos, incluyendo Ivanti Connect Secure e Ivanti Policy Secure, que permiten la ejecución remota de código tanto en versiones antiguas como recientes. Estas vulnerabilidades son particularmente peligrosas, ya que pueden ser explotadas por atacantes remotos autenticados para comprometer la integridad, confidencialidad y disponibilidad de los sistemas afectados. Además, se encuentran problemas de control de acceso y permisos insuficientes que podrían permitir a atacantes locales autenticados realizar acciones no autorizadas, como eliminación de archivos o lectura de datos sensibles. Otras vulnerabilidades incluyen inyecciones XSS y comandos del sistema operativo, aumentando el riesgo de explotación. Se recomienda aplicar las actualizaciones de seguridad proporcionadas por el fabricante para mitigar estos riesgos.
Recursos afectados
- Ivanti Cloud Services Application (CSA) versiones 5.0.4 y anteriores
- Ivanti Connect Secure (ICS) versiones 22.7R2.5 y anteriores
- Ivanti Policy Secure (IPS) versiones 22.7R1.2 y anteriores
- Ivanti Secure Access Client (ISAC) versiones 22.7R4 y anteriores
Análisis técnico
Las vulnerabilidades más destacadas son:
- CVE-2025-22467: Una vulnerabilidad de desbordamiento de búfer basado en pila en Ivanti Connect Secure antes de la versión 22.7R2.6 permite a un atacante remoto autenticado lograr ejecución remota de código.
- CWE-121
- CVSS: 9.9
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2024-10644: Inyección de código en Ivanti Connect Secure antes de la versión 22.7R2.4 e Ivanti Policy Secure antes de la versión 22.7R1.3 permite a un atacante remoto autenticado con privilegios de administrador conseguir ejecución remota de código.
- CWE-94
- CVSS: 9.1
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2024-47908: Inyección de comandos del sistema operativo en la consola web administrativa de Ivanti CSA versiones anteriores a la 5.0.5, permite a un atacante remoto autenticado con privilegios de administrador lograr ejecución remota de código.
- CWE-78
- CVSS: 9.1
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2024-13813: Permisos insuficientes en Ivanti Secure Access Client antes de la versión 22.8R1 permiten a un atacante local autenticado eliminar archivos arbitrarios.
- CWE-732
- CVSS: 7.1
- Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
- Explotación: No detectada
Mitigación / Solución
Ivanti recomienda actualizar a las versiones resueltas para mitigar las vulnerabilidades detectadas: Ivanti Cloud Services Application (CSA) a la versión 5.0.5; Ivanti Connect Secure (ICS) a la versión 22.7R2.6; Ivanti Policy Secure (IPS) a la versión 22.7R1.3 e Ivanti Secure Access Client (ISAC) a la versión 22.8R1. Las actualizaciones están disponibles en su portal de descargas.
Referencias adicionales