Ivanti - CVE-2025-0282
Date de publication :
Date de mise à jour :
Un défaut de contrôle de la mémoire dans les produits Ivanti Connect Secure, Policy Secure et Neurons for ZTA gateways permet à un attaquant non authentifié d’exécuter du code arbitraire.
Informations
La faille est activement exploitée : Oui
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire
Exploitation
La vulnérabilité exploitée est du type
CWE-121: Stack-based Buffer Overflow
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Élevée
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
Ivanti Connect Secure versions 22.7.R2.x antérieures à 22.7R2.5
Ivanti Policy Secure versions comprises entre 22.7R1 et 22.7R1.2 (incluse)
Ivanti Neurons for ZTA gateways versions 22.7.R2.x antérieures à 22.7R2.5
Solutions ou recommandations
L’éditeur recommande de rétablir la configuration d’usine des équipements avant d’appliquer les mises à jour.
Mettre à jour Ivanti Connect Secure vers la version 22.7R2.5 ou ultérieure.
Mettre à jour Ivanti Neurons for ZTA gateways vers la version 22.7R2.5 (disponible le 21 janvier 2025) ou ultérieure.
Aucun correctif n’est disponible pour Ivanti Policy Secure. Sa publication est également prévue le 21 janvier 2025.
Il est également recommandé d’exécuter l’outil de vérification d’intégrité (Integrity Checker Tool – ICT), interne ou externe, pour détecter l’exploitation de cette vulnérabilité ainsi que de superviser les résultats de scan de l’ICT.
Des informations complémentaires sont disponibles dans le bulletin d’Ivanti.