Impacto mundial (en el momento de la difusión)
- 23.240 hosts públicos Connect Secure en todo el mundo
- 100 de estos hosts tienen funciones ICS/SCADA
- Más de 120 de estos hosts tienen capacidades de base de datos
Principales países afectados:
1. EE.UU.
2. Japón
3. Alemania
4. REINO UNIDO
5. Francia
Resumen
Censys tiene conocimiento de que el 2 de abril de 2024, Ivanti publicó las siguientes cuatro vulnerabilidades que afectan a "todas las versiones compatibles" de sus productos Connect Secure y Policy Secure relacionados:
CVE-2024-21894 (Desbordamiento de Heap)
CVE-2024-22052 (desviación de puntero nulo)
CVE-2024-22053 (Desbordamiento de Heap)
CVE-2024-22023 (Expansión de entidades XML o XXE).
Descripciones de activos
Connect Secure es una "solución VPN para usuarios remotos y móviles desde cualquier dispositivo con acceso a Internet a los recursos corporativos."
Policy Secure "(IPS) es una solución de control de acceso a la red (NAC) que proporciona acceso a la red sólo a usuarios y dispositivos autorizados y seguros."
Impacto
Los efectos combinados o incluso por separado de la explotación de las siguientes vulnerabilidades por adversarios probablemente interrumpirían las capacidades de acceso remoto seguro de una organización cliente a través de Connect Secure y crearían problemas para los empleados que acceden a los servicios de la empresa a través del producto Policy Secure. La magnitud de los efectos de tales ataques dependería del grado en que una organización dependiera de estos dos productos para otros activos y operaciones en toda su empresa.
La vulnerabilidad de desbordamiento de heap de CVE-2024-21894 permite a un atacante no autenticado enviar peticiones para bloquear los activos, lo que provoca un ataque DoS y también puede conducir a la ejecución de código arbitrario.
La vulnerabilidad de desviación del puntero nulo de CVE-2024-22052 permite a un atacante no autenticado intentar el mismo ataque DoS.
La vulnerabilidad de desbordamiento de heap de CVE-2024-22053 permite a un atacante no autenticado intentar el mismo ataque DoS o, en determinadas condiciones, leer contenidos de la memoria.
La vulnerabilidad de expansión de entidades XML de CVE-2024-22023 permite a un atacante no autenticado provocar temporalmente el agotamiento de los recursos, lo que da lugar a una DoS de tiempo limitado.
Activos afectados
Según Ivanti, este problema afecta a todas las versiones compatibles de Connect Secure y Policy Secure Gateways: "Versión 9.x y 22.x".
CensysElequipo de respuesta rápida de Ivanti pudo identificar los activos Connect Secure de Ivanti. Dado que los activos Ivanti Policy Secure son activos que trabajan con activos Connect Secure desde detrás de los perímetros de red, Censys recomienda buscar internamente estos activos. A continuación se muestran las consultas que descubrirán con precisión los activos Connect Secure de cara al público, afectados por las vulnerabilidades mencionadas y observados recientemente en nuestros escaneos.
Censys Nombre de riesgo de ASM para dispositivos potencialmente vulnerables
"Aplicación Ivanti Connect Secure vulnerable [CVE-2024-21894, CVE-2024-22052, CVE-2024-22053, CVE-2024-22023]"
Censys Los clientes de ASM verán este riesgo aplicado a los activos afectados en sus espacios de trabajo. Aquellos que se hayan suscrito a la alerta de riesgos automatizada de respuesta rápida serán contactados directamente en relación con los activos afectados.
Censys Consulta ASM para activos expuestos.
Esta consulta se comparte para los clientes que desean refinar o alterar el versionado para operaciones personalizadas.
Censys Consulta de búsqueda
services.software: (proveedor: "Ivanti" y producto: "Connect Secure")
Recomendaciones
de Ivanti afirman que "ya hay un parche disponible para todas las versiones compatibles del producto a través del portal de descargas estándar.Recomendamos encarecidamente a los clientes que actúen de inmediato para asegurarse de que están totalmente protegidos".
Versiones del parche:
Ivanti Connect Secure: 22.1R6.2, 22.2R4.2, 22.3R1.2, 22.4R1.2, 22.4R2.4, 22.5R1.3, 22.5R2.4, 22.6R2.3, 9.1R14.6, 9.1R15.4, 9.1R16.4, 9.1R17.4 y 9.1R18.5.
Política Ivanti Secure: 22.4R1.2, 22.5R1.3, 22.6R1.2, 9.1R16.4, 9.1R17.4 y 9.1R18.5".
Si necesita ayuda para identificar positivamente estos activos, háganoslo saber.