Ivanti - CVE-2024-22024

Contournement de la politique de sécurité

La vulnérabilité exploitée est du type
CWE-611: Improper Restriction of XML External Entity Reference

Détails sur l'exploitation
•    Vecteur d'attaque : Réseau
•    Complexité de l'attaque : Faible
•    Privilèges nécessaires pour réaliser l'attaque : Aucun
•    Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•    L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Une preuve de concept est disponible en sources ouvertes.

Si le correctif ne peut pas être déployé, il est recommandé d’appliquer la solution de contournement suivante préconisée par Ivanti : [Article KB].

Mettre à jour Ivanti Connect Secure vers la version 9.1R14.5, 9.1R15.3, 9.1R16.3, 9.1R17.3, 9.1R18.4, 22.1R6.1, 22.2R4.1, 22.3R1.1, 22.4R1.1, 22.4R2.3, 22.5R1.2, 22.5R2.3 et 22.6R2.2 ou ultérieure.

Mettre à jour Ivanti Policy Secure vers la version 9.1R16.3, 9.1R17.3, 9.1R18.4, 22.4R1.1, 22.5R1.2 et 22.6R1.1 ou ultérieure.

Mettre à jour ZTA gateways vers la version 22.5R1.6, 22.6R1.5 et 22.6R1.7 ou ultérieure.

Les utilisateurs qui ont appliqué le correctif publié le 31 janvier ou le 1er février et qui ont procédé à une réinitialisation de leur appareil n'ont pas besoin de réinitialiser à nouveau leur matériel. Dans le cas contraire, l’éditeur recommande de réinitialiser (paramétrage usine) les appliances avant d’appliquer les mises à jour.

Des informations complémentaires sont disponibles dans le bulletin d’Ivanti.