CERTFR-2025-AVI-0014_Multiples vulnerabilites dans les produits Ivanti

AVIS CERT

CERT-FR

Publié le 9 janvier 2025 à 16h09 - Mis à jour le 7 février 2025 à 08h30

Objet

Multiples vulnérabilités dans les produits Ivanti

Référence

CERTFR-2025-AVI-0014

Risque(s)

Exécution de code arbitraire à distance
Élévation de privilèges

Système(s) affecté(s)

Connect Secure (ICS) versions antérieures à 22.7R2.5
Neurons for ZTA gateways versions antérieures à 22.7R2.5
Policy Secure (IPS) toutes versions

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Ivanti. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et une élévation de privilèges.

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

Bulletin de sécurité Ivanti Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-0282-CVE-2025-0283 du 08 janvier 2025 : https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-0282-CVE-2025-0283
Bulletin de sécurité Ivanti security-update-ivanti-connect-secure-policy-secure-and-neurons-for-zta-gateways du 08 janvier 2025 : https://www.ivanti.com/blog/security-update-ivanti-connect-secure-policy-secure-and-neurons-for-zta-gateways
Alerte CERTFR-2025-ALE-001 du 09 janvier 2025 : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2025-ALE-001/
Référence CVE CVE-2025-0282 : https://www.cve.org/CVERecord?id=CVE-2025-0282
Référence CVE CVE-2025-0283 : https://www.cve.org/CVERecord?id=CVE-2025-0283

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0014/