Ivanti - CVE-2025-0282

Date de publication :

Date de mise à jour :

Un défaut de contrôle de la mémoire dans les produits Ivanti Connect Secure, Policy Secure et Neurons for ZTA gateways permet à un attaquant non authentifié d’exécuter du code arbitraire.

Informations

La faille est activement exploitée : Oui

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire

Exploitation

La vulnérabilité exploitée est du type
CWE-121: Stack-based Buffer Overflow

Détails sur l'exploitation
•    Vecteur d'attaque : Réseau
•    Complexité de l'attaque : Élevée
•    Privilèges nécessaires pour réaliser l'attaque : Aucun
•    Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•    L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Une preuve de concept est disponible en sources ouvertes.

Systèmes ou composants affectés

Ivanti Connect Secure versions 22.7.R2.x antérieures à 22.7R2.5
Ivanti Policy Secure versions comprises entre 22.7R1 et 22.7R1.2 (incluse)
Ivanti Neurons for ZTA gateways versions 22.7.R2.x antérieures à 22.7R2.5

Solutions ou recommandations

L’éditeur recommande de rétablir la configuration d’usine des équipements avant d’appliquer les mises à jour.

Mettre à jour Ivanti Connect Secure vers la version 22.7R2.5 ou ultérieure.
Mettre à jour Ivanti Neurons for ZTA gateways vers la version 22.7R2.5 (disponible le 21 janvier 2025) ou ultérieure.
Aucun correctif n’est disponible pour Ivanti Policy Secure. Sa publication est également prévue le 21 janvier 2025.

Il est également recommandé d’exécuter l’outil de vérification d’intégrité (Integrity Checker Tool – ICT), interne ou externe, pour détecter l’exploitation de cette vulnérabilité ainsi que de superviser les résultats de scan de l’ICT. 

Des informations complémentaires sont disponibles dans le bulletin d’Ivanti.