CVE-2024-21887

Ivanti Connect Secure and Policy Secure

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-01-10

Официальное описание

Ivanti Connect Secure (ICS, formerly known as Pulse Connect Secure) and Ivanti Policy Secure contain a command injection vulnerability in the web components of these products, which can allow an authenticated administrator to send crafted requests to execute code on affected appliances. This vulnerability can be leveraged in conjunction with CVE-2023-46805, an authenticated bypass issue.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-21887 представляет собой критическую уязвимость типа Command Injection (инъекция команд) в веб-компонентах Ivanti Connect Secure (ICS) и Ivanti Policy Secure (IPS). Уязвимость позволяет аутентифицированному администратору выполнять произвольные команды на уровне операционной системы устройства путем отправки специально сформированных запросов.

Особую опасность представляет цепочка атак (exploit chain): злоумышленники используют CVE-2024-21887 совместно с CVE-2023-46805 (обход аутентификации). Это позволяет неавторизованному удаленному пользователю получить полный контроль над устройством без наличия учетных данных, что ведет к краже конфигураций, сессий пользователей и дальнейшему продвижению по сети.

Как исправить

Основным способом устранения уязвимости является установка официальных патчей от производителя. Ivanti выпустила обновления для различных веток версий.

  1. Определите текущую версию ПО через консоль администратора.
  2. Скачайте соответствующий патч в разделе загрузок на портале Ivanti (Standard Download Center).
  3. Выполните обновление системы до следующих (или более новых) версий:
  4. Ivanti Connect Secure: 22.3R1.3, 22.4R2.2, 22.5R1.1, 22.5R2.2, 22.6R2.1
  5. Ivanti Policy Secure: 22.4R1.1, 22.6R1.1
  6. ZTA Gateways: 22.5R1.5, 22.6R1.3

После установки патча рекомендуется провести полный сброс устройства (Factory Reset) и отозвать все сертификаты/пароли, если были обнаружены признаки компрометации.

Временные меры

Если немедленная установка патча невозможна, необходимо применить временное решение (Workaround) в виде импорта XML-файла конфигурации, который блокирует уязвимые эндпоинты.

  1. Скачайте файл mitigation.release.20240107.1.xml с официального портала Ivanti.

  2. Импортируйте файл через интерфейс администратора: Maintenance -> Import/Export -> Import XML

  3. Для проверки целостности системы и обнаружения следов взлома запустите встроенный инструмент External Integrity Checker (ICT).

Команда для проверки через последовательный порт (Serial Console) или SSH (если доступен):

/home/bin/check_integrity.sh

  1. В случае использования кластерной конфигурации, временные меры должны быть применены к каждому узлу отдельно.

  2. Ограничьте доступ к панели администратора, разрешив подключения только из доверенных сегментов сети (Management VLAN).

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей