Kwetsbaarheid verholpen in Ivanti Connect Secure, Policy Secure en ZTA Gateways
Deze pagina zet de platte tekst van officiële advisories automatisch om naar HTML. Hierbij kan mogelijk informatie verloren gaan. De Signed PGP-versies zijn leidend.
| Publicatie | Kans | Schade | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Versie 1.00 | gisteren | NCSC-2025-0105 | ||||||||
|
high
|
high
|
Signed-PGP → CSAF → PDF → |
||||||||
| gisteren |
high
|
high
|
NCSC-2025-0105 [1.00] |
Signed-PGP → Text, CSAF (sig), PDF |
||||||
| Kenmerken |
|
|||||||||
| Omschrijving |
Ivanti heeft een kwetsbaarheid verholpen in Connect Secure, Policy Secure en ZTA Gateways. Een kwaadwillende kan de kwetsbaarheid misbruiken om willekeurige code uit te voeren op het kwetsbare systeem zonder voorafgaande authenticatie. Ivanti meldt informatie te hebben dat de kwetsbaarheid beperkt is misbruikt op Connect Secure en Pulse Connect Secure systemen. Pulse Connect Secure is sinds 31 december 2024 End-of-Life en End-of-Support. Er zijn echter nog veel van deze End-of-Life systemen actief in gebruik en vindbaar op Internet. Dit is voor het NCSC de reden om dit beveiligingsadvies in te schalen als HIGH/HIGH. Ivanti meldt dat er voor zover bekend geen misbruik heeft plaatsgevonden op Policy Secure en ZTA Gateway systemen, omdat deze systemen niet zichtbaar zijn vanaf internet, of aanvullende maatregelen hebben die de kans op misbruik zeer klein maakt. |
|||||||||
| Bereik |
|
|||||||||
| Oplossingen |
Pulse Connect Secure appliances 9.1x krijgen geen updates, omdat deze productlijn End-of-Life en End-of-Support is. Het NCSC adviseert om deze systemen niet meer te gebruiken, uit te schakelen en te vervangen door ondersteunde systemen. Neem hiervoor contact op met de leverancier. Ivanti heeft updates beschikbaar gesteld voor Connect Secure, door versie 22.7R2.6 uit te brengen. Deze update is 11 februari 2025 vrijgegeven. De kwetsbaarheid is daarin verholpen als reguliere bug. Het NCSC heeft hiervoor op 12 februari beveiligingsadvies NCSC-2025-0052 gepubliceerd. Organisaties die dit beveiligingsadvies hebben opgevolgd zijn daardoor niet (meer) kwetsbaar. Voor Policy Secure is een update in ontwikkeling. Deze wordt 21 april verwacht. Voor ZTA Gateway is een update in ontwikkeling. Deze wordt 19 april verwacht. Het risico van actief misbruik is voor de laatstgenoemde systemen sterk gereduceerd vanwege additionele maatregelen die reeds in deze producten zijn geïmplementeerd. Raadpleeg de informatie van Ivanti voor eventuele additionele handelingsperspectieven. Zie bijgevoegde referenties voor meer informatie. [Link] [Link] |
|||||||||
| CVE’s | ||||||||||
| Versie 1.00 | gisteren | NCSC-2025-0105 | ||||||||
|
high
|
high
|
Signed-PGP → CSAF → PDF → |
||||||||
| gisteren |
high
|
high
|
NCSC-2025-0105 [1.00] |
Signed-PGP → Text, CSAF (sig), PDF |
||||||
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade
ten gevolge van het gebruik of de onmogelijkheid van het gebruik
van dit beveiligingsadvies, waaronder begrepen schade ten gevolge
van de onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle
geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies
zullen worden voorgelegd aan de exclusief bevoegde rechter te Den
Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in
kort geding.