Podatność typu stack-based buffer overflow w produktach Ivanti Connect Secure, Ivanti Policy Secure oraz Ivanti Neurons for ZTA umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na podatnym urządzeniu. Błąd jest aktywnie wykorzystywany w środowiskach produkcyjnych i znajduje się na liście CISA KEV.
▸ Pokaż oryginał (EN)
A stack-based buffer overflow in Ivanti Connect Secure before version 22.7R2.5, Ivanti Policy Secure before version 22.7R1.2, and Ivanti Neurons for ZTA gateways before version 22.7R2.3 allows a remote unauthenticated attacker to achieve remote code execution.
Atakujący wysyła specjalnie spreparowane żądanie sieciowe do podatnego urządzenia bez konieczności posiadania jakichkolwiek poświadczeń. Przekroczenie dopuszczalnego rozmiaru danych zapisywanych na stosie (stack-based buffer overflow, CWE-121, CWE-787) prowadzi do nadpisania obszarów pamięci poza przeznaczonym buforem. Skutkuje to przejęciem kontroli nad przepływem wykonania programu i umożliwia uruchomienie dowolnego kodu (RCE) z uprawnieniami procesu obsługującego połączenie.
Atakujący może uzyskać pełną kontrolę nad podatnym urządzeniem — wykonać dowolny kod, zmodyfikować konfigurację, przejąć dane uwierzytelniające użytkowników lub wykorzystać skompromitowane urządzenie jako punkt wejścia do dalszych działań w sieci organizacji.
Należy niezwłocznie zaktualizować produkty do następujących wersji: Ivanti Connect Secure do wersji 22.7R2.5 lub nowszej, Ivanti Policy Secure do wersji 22.7R1.2 lub nowszej, Ivanti Neurons for ZTA gateways do wersji 22.7R2.3 lub nowszej. Szczegółowe instrukcje łagodzenia skutków podatności dostępne są w oficjalnym komunikacie bezpieczeństwa Ivanti oraz w wytycznych CISA pod adresem wskazanym w referencjach.
Ivanti Connect Secure przed wersją 22.7R2.5, Ivanti Policy Secure przed wersją 22.7R1.2, Ivanti Neurons for ZTA gateways przed wersją 22.7R2.3
Podatność posiada publicznie dostępny kod exploit (referencja GitHub: sfewer-r7/CVE-2025-0282) oraz szczegółowy opis techniki wykorzystania opublikowany przez watchTowr Labs. Produkty Ivanti z segmentu VPN i Zero Trust Access są szczególnie narażone ze względu na ich ekspozycję na ruch internetowy — zalecana jest natychmiastowa weryfikacja urządzeń pod kątem oznak kompromitacji przed lub w trakcie wdrażania patcha.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:HIvanti Connect Secure
APPIvanti22.7Ivanti Neurons For Zero Trust Access
APPIvanti22.7Ivanti Policy Secure
APPIvanti22.7
CISA KEV — szczegółyi
- Dostawcai
- Ivanti ↗
- Produkti
- Connect Secure, Policy Secure, and ZTA Gateways
- Data dodania do KEVi
- 8 stycznia 2025
- Termin remediation (USA)i
- 15 stycznia 2025(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj mitygacje zgodnie z instrukcjami CISA podlinkami poniżej, obejmujące prowadzenie hunt activities, podjęcie działań remedacyjnych jeśli dotyczy, i aplikowanie aktualizacji przed przywróceniem urządzenia do użytku.
▸ Pokaż oryginał (EN)
Apply mitigations as set forth in the CISA instructions linked below to include conducting hunt activities, taking remediation actions if applicable, and applying updates prior to returning a device to service.
Bramki Ivanti Connect Secure, Policy Secure i ZTA zawierają przepełnienie bufora na stosie, które może prowadzić do niezauwierzytelnionego RCE.
▸ Pokaż oryginał (EN)
Ivanti Connect Secure, Policy Secure, and ZTA Gateways contain a stack-based buffer overflow which can lead to unauthenticated remote code execution.
Powiązane podatności
Stack-based buffer overflow w Ivanti Connect Secure, Policy Secure i ZTA Gateways umożliwiający RCE
Command injection w Ivanti Connect Secure i Policy Secure — RCE jako administrator
Pulse Connect Secure 9.0R3/9.1R1 and higher is vulnerable to an authentication bypass vulnerability exposed by...
In Pulse Secure Pulse Connect Secure (PCS) 8.2 before 8.2R12.1, 8.3 before 8.3R7.1, and 9.0 before 9.0R3.4, an...
Code injection w Ivanti Connect Secure i Policy Secure — RCE