Aggiornamenti recenti Settembre 16th, 2024 2:30 PM
Apr 05, 2024 Marina Londei News, RSS, Vulnerabilità 0
Dopo aver risolto un bug critico a fine marzo, Ivanti ha reso nota l’esistenza di altre quattro vulnerabilità nei suoi prodotti. Una di queste, la CVE-2024-21894, consente a un attaccante non autenticato di attuare attacchi DoS ed eseguire codice da remoto (RCE).
Il bug colpisce il componente IPSec di Ivanti Connect Secure, la soluzione PVN SSL per le aziende, e di Ivanti Policy Secure, soluzione per il controllo degli accessi in rete. La vulnerabilità di heap overflow non richiede l’interazione utente per essere sfruttata.
Ivanti ha affermato che la vulnerabilità può essere sfruttata solo sotto certe condizioni, ma non ha specificato quali né quanto sono complesse da raggiungere.
Tra gli altri bug spicca la CVE-2024-22053, un’altra vulnerabilità di heap overflow che colpisce IPSec e, oltre a causare un DoS, può permettere la lettura di contenuti dalla memoria. Il componente IPSec soffre anche del bug CVE-2024-22052, una vulnerabilità di null pointer dereference che consente a un attaccante di inviare richieste costruite ad hoc per interrompere i servizi.
Infine, Ivanti ha informato i suoi clienti anche della vulnerabilità CVE-2024-22023, un bug di XML entity expansion che colpisce il componente SAML di Ivanti Connect Secure e Ivanti Policy Secure. Questa vulnerabilità consente a un attaccante non autenticato di inviare specifiche richieste XML per provocare un esaurimento di risorse e provocare un DoS a tempo limitato.
Le patch sono disponibili per tutti i prodotti e Ivanti invita caldamente i suoi utenti ad aggiornare il prima possibile i software vulnerabili. Al momento non ci sono evidenze di attacchi che hanno sfruttato le vulnerabilità, ma è opportuno mantenere gli ambienti protetti.
Set 13, 2024 0
Set 09, 2024 0
Ago 29, 2024 0
Ago 26, 2024 0
Set 16, 2024 0
Set 16, 2024 0
Set 13, 2024 0
Set 12, 2024 0
Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...Set 05, 2024 0
Gli attacchi di furto di account (account takeover) sono...Set 03, 2024 0
Le identità digitali si moltiplicano e con esse anche le...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 12, 2024 0
I ricercatori di ReversingLabs hanno identificato alcune...