Avanti a publié des mises à jour de sécurité pour Avanti Connect Secure (ICS), Iv anti Policy Secure (IPS) et Iv anti Secure Access Client (ISAC) afin de résoudre plusieurs vulnérabilités, dont trois problèmes de gravité critique.
L’entreprise a découvert les failles grâce à son programme de divulgation responsable des chercheurs en sécurité de CISCO et d’Akamai, et via la plate-forme HackerOne bug bounty.
Ivanti note dans le bulletin de sécurité qu’il n’a reçu aucun rapport sur l’un des problèmes activement exploités dans la nature. Cependant, il recommande aux utilisateurs d’installer les mises à jour de sécurité dès que possible.
Les trois vulnérabilités de sécurité critiques Iv anti patché sont les suivantes:
- CVE-2025-22467: Le débordement de tampon basé sur la pile dans ICS permet aux attaquants authentifiés à distance avec de faibles privilèges d’exécuter du code. (score de gravité critique de 9,9)
- CVE-2024-38657: Le contrôle externe d’un nom de fichier permet aux attaquants authentifiés à distance d’effectuer une écriture de fichier arbitraire dans ICS et IPS. (score de gravité critique de 9,1)
- CVE-2024-10644: La vulnérabilité d’injection de code permet aux attaquants authentifiés à distance d’exécuter du code à distance dans ICS et IPS. (score de gravité critique de 9,1)
L’exploitation de l’un des trois problèmes est possible à partir d’un emplacement distant, mais un attaquant doit être authentifié. De plus, pour deux d’entre eux, des privilèges d’administrateur sont nécessaires pour exécuter du code à distance ou écrire des fichiers arbitraires.
Malgré cela, le risque est toujours considérable, car les menaces internes ou les attaquants qui ont volé des informations d’identification via le phishing, des violations antérieures ou via le forçage brutal des mots de passe peuvent toujours exploiter les failles pour des opérations malveillantes.
Il y a également cinq autres failles incluses dans le bulletin, allant de gravité moyenne à élevée. Les problèmes incluent les problèmes de script intersite (XSS), les clés codées en dur, le stockage en texte clair des données sensibles et les autorisations insuffisantes.
Les vulnérabilités affectent ICS 22. 7R2.5 et versions antérieures, IPS 22.7R1.2 et versions antérieures, et ISAC 22.7R4 et versions antérieures. Les détails sur les produits concernés par chaque faille peuvent être consultés dans le tableau ci-dessous.
Les problèmes ont été résolus dans ICS version 22.7R2.6, IPS version 22.7R1.3 et ISAC 22.8R1, qui sont les cibles de mise à niveau recommandées pour les administrateurs système.
Avanti a également reconnu que le problème avait également une incidence sur Pulse Connect Secure 9.x, mais a déclaré qu’il ne prévoyait pas d’offrir de correctifs pour ces produits car leur période de support est terminée,
« Le Pulse Connect Sécurisé 9.la version x du produit a atteint la fin de l’ingénierie en juin 2024 et a atteint la fin du support au 31 décembre 2024 », explique Ivanti.
“À cause de cela, le 9.la version x de Connect Secure ne reçoit plus de correctifs rétroportés”, a ajouté la société, encourageant les clients à passer à la version 22.7 d’Ivanti Connect Secure.
Ivanti n’a fourni aucune atténuation pour les failles corrigées et l’application de la dernière mise à jour est la solution recommandée.