CVE-2023-46805

Ivanti Connect Secure and Policy Secure

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-01-10

Официальное описание

Ivanti Connect Secure (ICS, formerly known as Pulse Connect Secure) and Ivanti Policy Secure gateways contain an authentication bypass vulnerability in the web component that allows an attacker to access restricted resources by bypassing control checks. This vulnerability can be leveraged in conjunction with CVE-2024-21887, a command injection vulnerability.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-46805 представляет собой критическую уязвимость обхода аутентификации (Authentication Bypass) в веб-компоненте шлюзов Ivanti Connect Secure (ICS) и Ivanti Policy Secure (IPS).

Злоумышленник может получить несанкционированный доступ к защищенным ресурсам, манипулируя путями запросов и обходя проверки управления доступом. В сочетании с CVE-2024-21887 (Command Injection) эта уязвимость позволяет неавторизованному удаленному пользователю выполнять произвольные команды в системе с правами root, что ведет к полному компрометации устройства, краже конфигурационных данных и сессий пользователей.

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности (Patch), выпущенных Ivanti. Версии исправлений зависят от используемой ветки ПО.

  1. Определите текущую версию ПО через консоль администратора.
  2. Скачайте соответствующий патч с портала Ivanti стандартным способом.
  3. Установите обновление для вашей ветки:
  4. Ivanti Connect Secure: версии 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1 и выше.
  5. Ivanti Policy Secure: версии 9.1R16.2, 22.4R1.1, 22.6R1.1 и выше.

После установки патча рекомендуется выполнить полный сброс паролей и отзыв активных сессий, так как они могли быть скомпрометированы до момента исправления.

Временные меры

Если немедленная установка патча невозможна, необходимо применить временное решение (Mitigation) в виде импорта XML-файла конфигурации, который блокирует уязвимые эндпоинты.

  1. Скачайте файл mitigation.release.20240105.1.xml (или актуальную версию) с официального портала Ivanti.

  2. Импортируйте файл через интерфейс администратора: Maintenance -> Import/Export -> Import XML

  3. Для проверки целостности системы и обнаружения следов эксплуатации выполните запуск встроенного инструмента Integrity Checker Tool (ICT).

Для внешнего сканирования на наличие признаков компрометации (IoC) можно использовать специализированные скрипты, однако основным методом защиты остается блокировка путей на уровне устройства.

Пример команды для проверки доступности внешних ресурсов (если используется CLI для диагностики):

curl -k -I https://<your-gateway-ip>/api/v1/totp/user-backup-code/../../system/config

Примечание: Если после применения мер возвращается ошибка 403 Forbidden или 404 Not Found, временная защита активна.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей