-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
######################## UPDATE 1.02 #############################
Titel : Kwetsbaarheden verholpen in Ivanti Connect Secure en Policy Secure
Advisory ID : NCSC-2024-0484
Versie : 1.02
Kans : medium
CVE ID : CVE-2024-9844, CVE-2024-11633, CVE-2024-11634,
CVE-2024-37377, CVE-2024-37401
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Improper Neutralization of Special Elements used in a
Command ('Command Injection')
Improper Neutralization of Argument Delimiters in a
Command ('Argument Injection')
Client-Side Enforcement of Server-Side Security
Out-of-bounds Read
Out-of-bounds Write
Uitgiftedatum : 20250108
Toepassing : ivanti connect_secure
ivanti policy_secure
Versie(s) :
Platform(s) :
Update
Advies: maak gebruik van de integrity check op betreffende Ivanti
apparatuur om mogelijk misbruik te kunnen detecteren.
Beschrijving
Ivanti heeft kwetsbaarheden verholpen in Ivanti Connect Secure
(Specifiek voor versies vóór 22.7R2.4) en Policy Secure (Specifiek
voor versies vóór 22.7R1.2).
De kwetsbaarheden bevinden zich in de Secure Application Manager
component en de IPSEC-component van Ivanti Connect Secure en Policy
Secure en omvatten onvoldoende server-side controles. Deze
kwetsbaarheden kunnen worden misbruikt door kwaadwillenden om
beveiligingsrestricties te omzeilen en ongeautoriseerde controle over
de systemen te verkrijgen of een Denial-of-Service te veroorzaken.
Dit kan leiden tot een inbreuk op de beveiligingsarchitectuur van de
getroffen organisaties.
De kwetsbaarheden bevinden zich (m.u.v. CVE-2024-11634) ook in de
systeemversie 9.x. Deze is echter sinds juni 2024 End-of-Engineering
en zal per 31 december 2024 End-of-Life gaan, waardoor deze géén
updates zal ontvangen om deze kwetsbaarheden te verhelpen.
De kwetsbaarheden met kenmerk CVE-2024-37377 en CVE-2024-37401
bevinden zich in de IPSEC-functionaliteit en zijn op afstand te
misbruiken zonder voorafgaande authenticatie. Succesvol misbruik
leidt tot een Denial-of-Service (DoS).
De kwetsbaarheid met kenmerk CVE-2024-9844 bevindt zich in de Secure
Application Manager en vereist voorafgaande authenticatie.
De kwetsbaarheden met kenmerk CVE-2024-11633 en CVE-2024-11634
vereisen voorafgaande authenticatie met Admin-rechten. Misbruik van
deze kwetsbaarheden stelt een kwaadwillende in staat om willekeurige
code uit te voeren op het kwetsbare systeem.
Uit betrouwbare bron ontvangt het NCSC signalen dat de kwetsbaarheden
beperkt zijn misbruikt. Er is geen publiek beschikbare Proof-of-
Concept (PoC) of exploitcode beschikbaar. Het is mogelijk dat deze
wel op korte termijn beschikbaar komt, waarmee de kans op
grootschalig misbruik toeneemt.
Mogelijke oplossingen
Ivanti heeft updates uitgebracht om de kwetsbaarheden te verhelpen in
Connect Secure 22.7R2.4 en Policy Secure 22.7R1.2.
Daarnaast is het ondervinden van misbruik mogelijk door middel van de
integrety check op betreffende Ivanti apparatuur.
Versie 9.x van zowel ICS als PCS zijn per 31 december 2024 End-of-
Life en hebben daarom géén updates ontvangen. Ivanti adviseert om
z.s.m. over te gaan naar de ondersteunde versie 22.7 van beide
systemen.
Zie bijgevoegde referenties voor meer informatie.
Referenties:
Reference - cveprojectv5; nvd
https://forums.ivanti.com/s/article/December-2024-Security-
Advisory-Ivanti-Connect-Secure-ICS-and-Ivanti-Policy-Secure-IPS-
Multiple-CVEs
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----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=l4Vp
-----END PGP SIGNATURE-----
