Cette vulnérabilités permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.
Ivanti indique que cette vulnérabilité est activement exploitée.
La vulnérabilité affecte les versions suivantes des solutions:
- Ivanti Connect Secure (ICS) versions antérieures à 22.7R2.6
- Ivanti Policy Secure (IPS) versions antérieures à 22.7R1.4
- Pulse Connect Secure versions antérieures à 22.7R2.6
- Zero Trust Access Gateways versions antérieures à 22.8R2.2
La mise à jour corrective pour les ICS est disponible depuis le 11 février 2025. L'éditeur indique que les correctifs seront disponibles le 19 avril 2025 pour Zero Trust Access Gateways et le 21 avril 2025 pour Ivanti Policy Secure. L'éditeur indique que les Pulse Connect Secure en versions 9.1x sont en fin de vie depuis le 31 décembre 2024. Les utilisateurs peuvent contacter Ivanti pour migrer vers une version à jour.
Mesures d'atténuation temporaires : Il est recommandé de restreindre l'accès à l'interface de gestion aux adresses IP de confiance, et c'est une bonne pratique à adopter lorsque cela est possible.
Outil de contrôle d'intégrité (ICT) : Il est recommandé d'utiliser l'ICT pour rechercher des signes de compromission et également pour détecter les plantages de serveur.
Vous trouverez davantage d'informations sur la page dédiée de l'éditeur: https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457?language=en_US