CVE-2024-21893

Ivanti Connect Secure, Policy Secure, and Neurons

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-01-31

Официальное описание

Ivanti Connect Secure (ICS, formerly known as Pulse Connect Secure), Ivanti Policy Secure, and Ivanti Neurons contain a server-side request forgery (SSRF) vulnerability in the SAML component that allows an attacker to access certain restricted resources without authentication.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-21893 представляет собой критическую уязвимость типа Server-Side Request Forgery (SSRF) в компоненте SAML продуктов Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) и Ivanti Neurons for Secure Access.

Проблема локализована в обработчике XML-запросов. Злоумышленник может отправить специально сформированный запрос, который заставит сервер выполнить обращение к внутренним ресурсам или внешним адресам от имени системы. Это позволяет неавторизованному пользователю получить доступ к защищенным эндпоинтам, обходя механизмы аутентификации, и в ряде случаев может привести к дальнейшему выполнению произвольного кода (RCE) в цепочке с другими уязвимостями.

Как исправить

Для полного устранения уязвимости необходимо обновить программное обеспечение до версий, в которых данная ошибка исправлена. Ivanti выпустила соответствующие патчи.

  1. Загрузите актуальную версию прошивки из официального портала Ivanti Standard Support Portal.
  2. Выполните обновление системы до одной из следующих версий (или выше):
  3. Ivanti Connect Secure: 22.x (9.1R18.3)
  4. Ivanti Policy Secure: 22.x (9.1R18.3)

  5. Ivanti Neurons for Secure Access: 22.x (9.1R18.3)

  6. После установки обновления убедитесь, что система работает корректно, и проверьте целостность файлов через встроенный инструмент Integrity Checker Tool (ICT).

Временные меры

Если немедленное обновление невозможно, необходимо применить официальный XML-патч (Mitigation Release), который блокирует доступ к уязвимому компоненту SAML.

  1. Скачайте файл mitigation.release.20240126.5.xml (или более позднюю версию) с портала Ivanti.
  2. Импортируйте файл через консоль управления:
  3. Перейдите в раздел: Maintenance -> Import/Export -> Import XML.

  4. Выберите скачанный файл и нажмите Import.

  5. Проверьте статус применения мер. В логах должно появиться подтверждение блокировки доступа к специфическим путям SAML.

Важное примечание: Применение временных мер (mitigation) может нарушить работу функций, использующих SAML-аутентификацию. После установки полноценного обновления ПО (патча) временные меры необходимо отозвать (Rollback), чтобы восстановить полную функциональность системы.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей