Aggiornamenti recenti Settembre 17th, 2025 4:45 PM
Apr 05, 2024 Marina Londei News, RSS, Vulnerabilità 0
Dopo aver risolto un bug critico a fine marzo, Ivanti ha reso nota l’esistenza di altre quattro vulnerabilità nei suoi prodotti. Una di queste, la CVE-2024-21894, consente a un attaccante non autenticato di attuare attacchi DoS ed eseguire codice da remoto (RCE).
Il bug colpisce il componente IPSec di Ivanti Connect Secure, la soluzione PVN SSL per le aziende, e di Ivanti Policy Secure, soluzione per il controllo degli accessi in rete. La vulnerabilità di heap overflow non richiede l’interazione utente per essere sfruttata.
Ivanti ha affermato che la vulnerabilità può essere sfruttata solo sotto certe condizioni, ma non ha specificato quali né quanto sono complesse da raggiungere.
Pixabay
Tra gli altri bug spicca la CVE-2024-22053, un’altra vulnerabilità di heap overflow che colpisce IPSec e, oltre a causare un DoS, può permettere la lettura di contenuti dalla memoria. Il componente IPSec soffre anche del bug CVE-2024-22052, una vulnerabilità di null pointer dereference che consente a un attaccante di inviare richieste costruite ad hoc per interrompere i servizi.
Infine, Ivanti ha informato i suoi clienti anche della vulnerabilità CVE-2024-22023, un bug di XML entity expansion che colpisce il componente SAML di Ivanti Connect Secure e Ivanti Policy Secure. Questa vulnerabilità consente a un attaccante non autenticato di inviare specifiche richieste XML per provocare un esaurimento di risorse e provocare un DoS a tempo limitato.
Le patch sono disponibili per tutti i prodotti e Ivanti invita caldamente i suoi utenti ad aggiornare il prima possibile i software vulnerabili. Al momento non ci sono evidenze di attacchi che hanno sfruttato le vulnerabilità, ma è opportuno mantenere gli ambienti protetti.
Set 08, 2025 0
Set 03, 2025 0
Ago 11, 2025 0
Lug 11, 2025 0
Set 17, 2025 0
Set 16, 2025 0
Set 15, 2025 0
Set 15, 2025 0
Set 17, 2025 0
La minaccia di MuddyWater non si arresta, anzi: negli...Set 12, 2025 0
L’intelligenza artificiale diventa non solo...Set 11, 2025 0
Il ransomware continua a dilagare e rimane la minaccia...Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Set 17, 2025 0
La minaccia di MuddyWater non si arresta, anzi: negli...Set 16, 2025 0
I ricercatori della compagnia di sicurezza Socket hanno...Set 15, 2025 0
La nuova squadra italiana per le competizioni di...Set 15, 2025 0
La scorsa settimana il CERT-AGID ha identificato e...Set 12, 2025 0
L’intelligenza artificiale diventa non solo...