Cảnh báo: Lỗ hổng vượt qua xác thực ảnh hưởng đến các sản phẩm của Ivanti

[WhiteHat Team]

Ivanti vừa cảnh báo khách hàng về một lỗ hổng mới có mức độ nghiêm trọng cao trong các Connect Secure (giải pháp truy cập từ xa SSL VPN), Policy Secure (kiểm soát truy cập mạng) và các thiết bị ZTA gateway của hãng có thể cho phép kẻ tấn công vượt qua cơ chế xác thực.

Lỗ hổng có mã định danh CVE-2024-22024, điểm CVSS 8,3/10. Theo Ivanti: "Đây là Lỗ hổng XXE trong thành phần SAML của các sản phẩm Connect Secure (phiên bản 9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) và ZTA gateway cho phép kẻ tấn công truy cập vào các tài nguyên bị giới hạn mà không cần xác thực".

Ivanti cho biết họ đã phát hiện ra lỗ hổng trong quá trình đánh giá nội bộ về nhiều lỗ hổng an ninh trong các sản phẩm của hãng kể từ đầu năm bao gồm: CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 và CVE-2024-21893.

Tuy nhiên mới đây, hãng bảo mật watchTowr cho biết họ mới là đơn vị phát hiện ra lỗ hổng CVE-2024-22024 và thông báo cho Ivanti vào đầu tháng 2/2024, lưu ý rằng nó bắt nguồn từ việc sửa lỗi không đúng cách CVE-2024-21893 trong phiên bản phần mềm mới nhất.

CVE-2024-22024 ảnh hưởng đến phiên bản của các sản phẩm sau:

• Ivanti Connect Secure: các phiên bản 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 và 22.5R1.1
• Ivanti Policy Secure phiên bản 22.5R1.1
• ZTA phiên bản 22.6R1.3

Bản vá cho lỗ hổng này đã được cập nhật trong:

• Connect Secure các phiên bản 9.1R14.5, 9.1R17.3, 9.1R18.4, 22.4R2.3, 22.5R1.2, 22.5R2.3 và 22.6R2.2;
• Policy Secure các phiên bản 9.1R17.3, 9.1R18.4 và 22.5R1.2;
• ZTA các phiên bản 22.5R1.6, 22.6R1.5 và 22.6R1.7

Ivanti cho biết hiện chưa có bằng chứng cho thấy lỗ hổng đang bị khai thác trên thực tế nhưng với việc các lỗ hổng gần đây như CVE-2023-46805, CVE-2024-21887 và CVE-2024-21893 đang bị tin tặc lợi dụng trên diện rộng thì người dùng cần áp dụng các bản sửa lỗi càng sớm càng tốt.

Theo The Hacker News​