Podatność typu command injection w komponentach webowych Ivanti Connect Secure (9.x, 22.x) oraz Ivanti Policy Secure (9.x, 22.x) umożliwia uwierzytelnionemu administratorowi wykonanie dowolnych poleceń systemowych na urządzeniu. Podatność jest aktywnie exploitowana i znajduje się w katalogu CISA KEV.
▸ Pokaż oryginał (EN)
A command injection vulnerability in web components of Ivanti Connect Secure (9.x, 22.x) and Ivanti Policy Secure (9.x, 22.x) allows an authenticated administrator to send specially crafted requests and execute arbitrary commands on the appliance.
Atakujący z uprawnieniami administratora może wysyłać specjalnie spreparowane żądania do komponentów webowych urządzenia. Wstrzyknięte polecenia są wykonywane bezpośrednio przez system operacyjny appliance'u bez odpowiedniej walidacji i sanityzacji danych wejściowych (CWE-77). W połączeniu z podatnością CVE-2023-46805 (authentication bypass), dostępną w tych samych produktach, możliwe jest osiągnięcie nieuwierzytelnionego RCE — co potwierdzają publicznie dostępne exploity.
Atakujący może wykonać dowolne polecenia systemowe na urządzeniu, co w praktyce oznacza pełne przejęcie kontroli nad appliance'em, w tym możliwość uzyskania dostępu do poufnych danych, modyfikacji konfiguracji oraz dalszego ruchu w sieci (lateral movement).
Należy zastosować patche dostępne u producenta zgodnie z referencjami (forum Ivanti: CVE-2023-46805 i CVE-2024-21887). Ze względu na aktywne exploitowanie podatności oraz dostępność publicznego exploitu, aktualizacja powinna zostać przeprowadzona natychmiastowo. Zaleca się również przegląd logów pod kątem śladów kompromitacji.
Ivanti Connect Secure w wersjach 9.x oraz 22.x; Ivanti Policy Secure w wersjach 9.x oraz 22.x
Podatność jest często łączona z CVE-2023-46805 (authentication bypass w tych samych produktach), co umożliwia nieuwierzytelniony RCE — potwierdza to publicznie dostępny exploit na PacketStorm. CISA potwierdziła aktywne exploitowanie w środowiskach produkcyjnych.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HIvanti Connect Secure
APPIvanti22.122.222.322.422.522.69.09.1Ivanti Policy Secure
APPIvanti22.122.222.322.422.522.69.09.1
CISA KEV — szczegółyi
- Dostawcai
- Ivanti ↗
- Produkti
- Connect Secure and Policy Secure
- Data dodania do KEVi
- 10 stycznia 2024
- Termin remediation (USA)i
- 22 stycznia 2024(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj mitygacje zgodnie z instrukcjami producenta lub zaprzestań korzystania z produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
Ivanti Connect Secure (ICS, wcześniej znany jako Pulse Connect Secure) i Ivanti Policy Secure zawierają lukę command injection w komponentach webowych tych produktów, która pozwala uwierzytelnionym administratorom wysyłać specjalnie przygotowane żądania w celu wykonania kodu na zainfekowanych urządzeniach. Ta luka może być wykorzystana w połączeniu z CVE-2023-46805, problemem uwierzytelniającego bypassa.
▸ Pokaż oryginał (EN)
Ivanti Connect Secure (ICS, formerly known as Pulse Connect Secure) and Ivanti Policy Secure contain a command injection vulnerability in the web components of these products, which can allow an authenticated administrator to send crafted requests to execute code on affected appliances. This vulnerability can be leveraged in conjunction with CVE-2023-46805, an authenticated bypass issue.
Powiązane podatności
Stack-based buffer overflow w Ivanti Connect Secure, Policy Secure i ZTA Gateways umożliwiający RCE
Stack-based buffer overflow RCE w Ivanti Connect Secure, Policy Secure i Neurons for ZTA
Pulse Connect Secure 9.0R3/9.1R1 and higher is vulnerable to an authentication bypass vulnerability exposed by...
In Pulse Secure Pulse Connect Secure (PCS) 8.2 before 8.2R12.1, 8.3 before 8.3R7.1, and 9.0 before 9.0R3.4, an...
Code injection w Ivanti Connect Secure i Policy Secure — RCE