Ivantiは米国時間1月31日、VPN製品「Ivanti Connect Secure」(旧Pulse Connect Secure)とゲートウェイ製品「Ivanti Policy Secure」に存在する脆弱(ぜいしゃく)性を修正するためのセキュリティアップデートを公開した。新たに2件の脆弱性情報も公開し、セキュリティアップデートでは既知2件、新規2件の複数の脆弱性に対処している。
セキュリティアップデートは、当該製品の現行サポートバージョンとなる9x系および22x系が対象。バージョン9.1R14.4、同9.1R17.2、同9.1R18.3、同22.4R2.2、同22.5R1.1で脆弱性を修正した。ユーザーはダウンロードポータルから入手できるが、リリースは段階的に行うという
既知の脆弱性は、認証回避(CVE-2023-46805)とコマンドインジェクション(CVE-2024-21887)の2件で、悪用されると、第三者が認証を回避して任意のコマンドを実行する恐れがある。既に脆弱性を悪用するサイバー攻撃が発生している。
新たに情報が公開されたのは、権限昇格の脆弱性(CVE-2024-21888)とサーバーサイド・リクエストフォージェリ(SSRF)の脆弱性(CVE-2024-21893)の2件で、既知の2件と同じくIvanti Connect SecureとIvanti Policy Secureに存在する。Ivantiによれば、CVE-2024-21893の脆弱性を悪用する攻撃が20社未満のユーザーで既に発生したという。
Ivantiは、ユーザーにセキュリティアップデートの早期適用をアドバイスしている。また、すぐに適用できないユーザー向けの回避策も提供しており、新規に公開した脆弱性の影響を緩和するためのXMLファイルも追加している始した。
