Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos Ivanti

Fecha de publicación 11/12/2024
Identificador
INCIBE-2024-0607
Importancia
5 - Crítica
Recursos Afectados
  • Ivanti Cloud Services Application (CSA), versiones 5.0.2 y anteriores.
  • Ivanti Desktop and Server Management (DSM), versión 2024.2.
  • Ivanti Connect Secure (ICS), versiones 22.7R2.3 y anteriores.
  • Ivanti Policy Secure (IPS), versiones 22.7R1.1 y anteriores.
  • Ivanti Sentry, versiones:
    • 9.20.1 y anteriores;
    • 10.0.1 y anteriores.
  • Ivanti Endpoint Manager (EPM), versiones:
    • 2024 September Security Update y anteriores;
    • 2022 SU6 y anteriores.
  • Ivanti Security Controls (iSec), versiones 2024.3.2 (9.6.9365.0) y anteriores.
  • Ivanti Patch for Configuration Manager, versiones 2024.3 (2.5.1058) y anteriores.
  • Ivanti Neurons for Patch Management, versiones 2024.3 (1.1.55.0) y anteriores.
  • Ivanti Neurons Agent Platform, versiones 2024.1 (9.6.771) y anteriores.
Descripción

Ivanti ha publicado múltiples avisos que recogen un total de 11 vulnerabilidades, de las cuales 5 tienen severidad crítica y 6 altas. La explotación de estas vulnerabilidades podría permitir a un atacante escalar privilegios, ejecutar código remoto, inyectar SQL, omitir el proceso de autenticación en el dispositivo afectado y eliminar archivos arbitrarios, entre otras acciones.

Solución
  • Ivanti Cloud Services Application (CSA), versión 5.0.3.
  • Ivanti Desktop and Server Management (DSM), versión 2024.3.5740.
  • Ivanti Connect Secure (ICS), versión 22.7R2.4.
  • Ivanti Policy Secure (IPS), versión 22.7R1.2.
  • Ivanti Sentry, versiones:
    • 9.20.2;
    • 10.0.2;
    • 10.1.0.
  • Ivanti Endpoint Manager (EPM), versiones:
    • 2024 November Security Update;
    • 2022 SU6 November Security Update.
  • Ivanti Security Controls (iSec), versión 2024.4 (9.6.9375.0).
  • Ivanti Patch for Configuration Manager, versión 2024.4 (2.5.1129.0).
  • Ivanti Neurons for Patch Management, versión 2024.4 (1.1.67.0).
  • Ivanti Neurons Agent Platform, versión 2024.4 (9.6.839).
Detalle

Las vulnerabilidades críticas se describen a continuación:

  • La inyección de argumentos en Ivanti Connect Secure podría permitir a un atacante remoto, autenticado y con privilegios de administrador, ejecutar código. Se ha asignado el identificador CVE-2024-11633 para esta vulnerabilidad.
  • La inyección de comandos en Ivanti Connect Secure e Ivanti Policy Secure podría permitir a un atacante remoto, autenticado y con privilegios de administrador, ejecutar código. Se ha asignado el identificador CVE-2024-11634 para esta vulnerabilidad.
  • La omisión de autenticación en la consola web de administración de Ivanti CSA podría permitir a un atacante, remoto y no autenticado, obtener acceso administrativo. Se ha asignado el identificador CVE-2024-11639 para esta vulnerabilidad.
  • La inyección de comandos en la consola web de administración de Ivanti CSA podría permitir a un atacante remoto, autenticado y con privilegios de administrador, ejecutar código. Se ha asignado el identificador CVE-2024-11772 para esta vulnerabilidad.
  • La inyección SQL en la consola web de administración de Ivanti CSA podría permitir a un atacante remoto, autenticado y con privilegios de administrador, ejecutar sentencias SQL arbitrarias. Se ha asignado el identificador CVE-2024-11773 para esta vulnerabilidad.

El resto de identificadores CVE de severidad alta pueden consultarse en las referencias.

Listado de referencias
December Security Update
December 2024 Security Advisory Ivanti Connect Secure (ICS) and Ivanti Policy Secure (IPS) (Multiple CVEs)
Security Advisory Ivanti Cloud Services Application (CSA) (CVE-2024-11639, CVE-2024-11772, CVE-2024-11773)
Etiquetas