Sicherheitsupdates: Authentifizierung von Ivanti Connect Secure & Co. defekt
Angreifer können ohne Anmeldung auf Ivanti Connect Secure, Policy Secure und ZTA Gateway zugreifen.
(Bild: Artur Szczybylo/Shutterstock.com)
Ivantis SSL-VPN-Lösung Connect Secure, die Netzwerkzugriffskontrolle Policy Secure und ZTA Gateway sind verwundbar. In aktuellen Ausgaben haben die Entwickler ein Sicherheitsproblem gelöst.
Unbefugte Zugriffe
In einer Warnmeldung ist die Sicherheitslücke (CVE-2024-22024) mit dem Bedrohungsgrad „hoch“ aufgelistet. Angreifer können für eine XML-External-Entity-Attacke (XXE) an der SAML-Komponente ansetzen. Klappt das, ist der Zugriff auf einige eigentlich abgeschottete Ressourcen ohne Anmeldung möglich. Wie das im Detail passieren kann, führt Ivanti derzeit nicht aus.
Folgende Versionen sind dagegen gerüstet:
- Connect Secure 9.1R14.5, 9.1R17.3, 9.1R18.4, 22.4R2.3, 22.5R1.2, 22.5R2.3 und 22.6R2.2
- Policy Secure 9.1R17.3, 9.1R18.4 und 22.5R1.2
- ZTA Gateway 22.5R1.6, 22.6R1.5 und 22.6R1.7
Das IT-Softwareunternehmen gibt an, dass es derzeit keine Hinweise auf Attacken gibt. Nichtsdestotrotz raten sie zu einer zügigen Installation der Updates.
(des)
