-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.01 #############################

Titel           : Kwetsbaarheden verholpen in Ivanti Connect Secure en Policy Secure
Advisory ID     : NCSC-2024-0484
Versie          : 1.01
Kans            : medium
CVE ID          : CVE-2024-9844, CVE-2024-11633, CVE-2024-11634,
                  CVE-2024-37377, CVE-2024-37401
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Out-of-bounds Read
                  Improper Neutralization of Special Elements used in a
                  Command ('Command Injection')
                  Out-of-bounds Write
                  Client-Side Enforcement of Server-Side Security
                  Improper Neutralization of Argument Delimiters in a
                  Command ('Argument Injection')
Uitgiftedatum   : 20241224
Toepassing      : ivanti connect_secure
                  ivanti policy_secure
Versie(s)       :
Platform(s)     :

Update
   NCSC ontvangt uit betrouwbare bron informatie dat de kwetsbaarheden
   beperkt zijn misbruikt.

Beschrijving
   Ivanti heeft kwetsbaarheden verholpen in Ivanti Connect Secure
   (Specifiek voor versies vóór 22.7R2.4) en Policy Secure (Specifiek
   voor versies vóór 22.7R1.2).

   De kwetsbaarheden bevinden zich in de Secure Application Manager
   component en de IPSEC-component van Ivanti Connect Secure en Policy
   Secure en omvatten onvoldoende server-side controles. Deze
   kwetsbaarheden kunnen worden misbruikt door kwaadwillenden om
   beveiligingsrestricties te omzeilen en ongeautoriseerde controle over
   de systemen te verkrijgen of een Denial-of-Service te veroorzaken.
   Dit kan leiden tot een inbreuk op de beveiligingsarchitectuur van de
   getroffen organisaties.
   De kwetsbaarheden bevinden zich (m.u.v. CVE-2024-11634) ook in de
   systeemversie 9.x. Deze is echter sinds juni 2024 End-of-Engineering
   en zal per 31 december 2024 End-of-Life gaan, waardoor deze géén
   updates zal ontvangen om deze kwetsbaarheden te verhelpen.
   De kwetsbaarheden met kenmerk CVE-2024-37377 en CVE-2024-37401
   bevinden zich in de IPSEC-functionaliteit en zijn op afstand te
   misbruiken zonder voorafgaande authenticatie. Succesvol misbruik
   leidt tot een Denial-of-Service (DoS).
   De kwetsbaarheid met kenmerk CVE-2024-9844 bevindt zich in de Secure
   Application Manager en vereist voorafgaande authenticatie.
   De kwetsbaarheden met kenmerk CVE-2024-11633 en CVE-2024-11634
   vereisen voorafgaande authenticatie met Admin-rechten. Misbruik van
   deze kwetsbaarheden stelt een kwaadwillende in staat om willekeurige
   code uit te voeren op het kwetsbare systeem.
   Uit betrouwbare bron ontvangt het NCSC signalen dat de kwetsbaarheden
   beperkt zijn misbruikt. Er is geen publiek beschikbare Proof-of-
   Concept (PoC) of exploitcode beschikbaar. Het is mogelijk dat deze
   wel op korte termijn beschikbaar komt, waarmee de kans op
   grootschalig misbruik toeneemt.

Mogelijke oplossingen
   Ivanti heeft updates uitgebracht om de kwetsbaarheden te verhelpen in
   Connect Secure 22.7R2.4 en Policy Secure 22.7R1.2.
   Versie 9.x van zowel ICS als PCS zijn per 31 december 2024 End-of-
   Life en hebben daarom géén updates ontvangen. Ivanti adviseert om
   z.s.m. over te gaan naar de ondersteunde versie 22.7 van beide
   systemen.
   Zie bijgevoegde referenties voor meer informatie.

   Referenties:
      Reference - cveprojectv5; nvd
      https://forums.ivanti.com/s/article/December-2024-Security-
      Advisory-Ivanti-Connect-Secure-ICS-and-Ivanti-Policy-Secure-IPS-
      Multiple-CVEs

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
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=CBoh
-----END PGP SIGNATURE-----