Vulnerability-Lookup

CVE-2024-22024 (GCVE-0-2024-22024)

Vulnerability from cvelistv5 – Published: 2024-02-13 04:07 – Updated: 2025-05-09 18:26

KEVIntel

Summary

An XML external entity or XXE vulnerability in the SAML component of Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) and ZTA gateways which allows an attacker to access certain restricted resources without authentication.

Severity

8.3 (High)


                        
                          CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L

SSVC

Exploitation: poc Automatable: yes Technical Impact: partial

CISA Coordinator (v2.0.3)

CWE

CWE-611 - Improper Restriction of XML External Entity Reference

Assigner

hackerone

References

1 reference

URL	Tags
https://forums.ivanti.com/s/article/CVE-2024-2202…

Impacted products

3 products

Vendor	Product	Version
Ivanti	ICS	Affected: 9.1R14.5 , < 9.1R14.5 (semver) Affected: 9.1R17.3 , < 9.1R17.3 (semver) Affected: 9.1R18.4 , < 9.1R18.4 (semver) Affected: 22.1R6.1 , < 22.1R6.1 (semver) Unaffected: 9.1R14.4 , < 9.1R14.4 (semver) Unaffected: 9.1R15.2 , < 9.1R15.2 (semver) Unaffected: 9.1R16.2 , < 9.1R16.2 (semver) Unaffected: 9.1R17.2 , < 9.1R17.2 (semver) Unaffected: 9.1R18.3 , < 9.1R18.3 (semver) Unaffected: 22.1R6.1 , < 22.1R6.1 (semver) Affected: 22.2R4.1 , < 22.2R4.1 (semver) Affected: 22.3R1.1 , < 22.3R1.1 (semver) Affected: 22.4R1.1 , < 22.4R1.1 (semver) Affected: 22.5R1.2 , < 22.5R1.2 (semver) Affected: 22.6R1.1 , < 22.6R1.1 (semver) Affected: 22.4R2.3 , < 22.4R2.3 (semver) Affected: 22.5R2.3 , < 22.5R2.3 (semver) Affected: 22.6R2.2 , < 22.6R2.2 (semver) Unaffected: 22.2R4.1 , < 22.2R4.1 (semver) Unaffected: 22.3R1 , < 22.3R1 (semver) Unaffected: 22.4R1.1 , < 22.4R1.1 (semver) Unaffected: 22.5R1.1 , < 22.5R1.1 (semver) Unaffected: 22.6R1.1 , < 22.6R1.1 (semver) Unaffected: 22.4R2.2 , < 22.4R2.2 (semver) Unaffected: 22.5R2.2 , < 22.5R2.2 (semver) Unaffected: 22.6R2.2 , < 22.6R2.2 (semver)
Ivant	ICS	Affected: 9.1R15.3 , < 9.1R15.3 (semver)
Ivanti	IPS	Affected: 9.1R18.4 , < 9.1R18.4 (semver) Affected: 9.1R17.3 , < 9.1R17.3 (semver) Affected: 22.5R1.2 , < 22.5R1.2 (semver) Unaffected: 9.1R18.2 , < 9.1R18.2 (semver) Unaffected: 9.1R17.2 , < 9.1R17.2 (semver) Unaffected: 22.5R1.1 , < 22.5R1.1 (semver)

KEVIntel

Known Exploited Vulnerability - GCVE BCP-07 Compliant

KEV entry ID: f5e83461-4699-4b1e-ac8c-eeb172801b30

Vulnerability ID: CVE-2024-22024

Status: Confirmed

Status Updated: 2025-04-28 00:00 UTC

Exploited: Yes

Timestamps

First Seen: 2025-04-28

Asserted: 2025-04-28

Scope

Notes: KEVIntel entry: An XML external entity or XXE vulnerability in the SAML component of Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) and ZTA... | Affected: Ivanti, Ivant / ICS, IPS | CVSS: 8.3 (HIGH) | Used in malware: unknown | Not yet in CISA KEV: True

Evidence

Type: Public Report

Signal: Successful Exploitation

Confidence: 70%

Source: kevintel

Details

Feed	KEVIntel (kevintel.com)
Title	An XML external entity or XXE vulnerability in the SAML component of Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) and ZTA...
Vendor	Ivanti, Ivant
Product	ICS, IPS
Added Date	2025-04-28T00:00:00.000Z
Cvss Score	8.3
Epss Score	None
Cvss Severity	HIGH
Epss Percentile	None
Used In Malware	unknown
Ahead Of Cisa Kev	None
Not Yet In Cisa Kev	True

References

Created: 2026-06-23 14:04 UTC | Updated: 2026-06-23 14:04 UTC

Show details on NVD website

JSON

To clipboard

{
  "containers": {
    "adp": [
      {
        "providerMetadata": {
          "dateUpdated": "2024-08-01T22:35:34.846Z",
          "orgId": "af854a3a-2127-422b-91ae-364da2661108",
          "shortName": "CVE"
        },
        "references": [
          {
            "tags": [
              "x_transferred"
            ],
            "url": "https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US"
          }
        ],
        "title": "CVE Program Container"
      },
      {
        "metrics": [
          {
            "other": {
              "content": {
                "id": "CVE-2024-22024",
                "options": [
                  {
                    "Exploitation": "poc"
                  },
                  {
                    "Automatable": "yes"
                  },
                  {
                    "Technical Impact": "partial"
                  }
                ],
                "role": "CISA Coordinator",
                "timestamp": "2024-09-16T19:34:58.517182Z",
                "version": "2.0.3"
              },
              "type": "ssvc"
            }
          }
        ],
        "problemTypes": [
          {
            "descriptions": [
              {
                "cweId": "CWE-611",
                "description": "CWE-611 Improper Restriction of XML External Entity Reference",
                "lang": "en",
                "type": "CWE"
              }
            ]
          }
        ],
        "providerMetadata": {
          "dateUpdated": "2025-05-09T18:26:09.386Z",
          "orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
          "shortName": "CISA-ADP"
        },
        "title": "CISA ADP Vulnrichment"
      }
    ],
    "cna": {
      "affected": [
        {
          "product": "ICS",
          "vendor": "Ivanti",
          "versions": [
            {
              "lessThan": "9.1R14.5",
              "status": "affected",
              "version": "9.1R14.5",
              "versionType": "semver"
            },
            {
              "lessThan": "9.1R17.3",
              "status": "affected",
              "version": "9.1R17.3",
              "versionType": "semver"
            },
            {
              "lessThan": "9.1R18.4",
              "status": "affected",
              "version": "9.1R18.4",
              "versionType": "semver"
            },
            {
              "lessThan": "22.1R6.1",
              "status": "affected",
              "version": "22.1R6.1",
              "versionType": "semver"
            },
            {
              "lessThan": "9.1R14.4",
              "status": "unaffected",
              "version": "9.1R14.4",
              "versionType": "semver"
            },
            {
              "lessThan": "9.1R15.2",
              "status": "unaffected",
              "version": "9.1R15.2",
              "versionType": "semver"
            },
            {
              "lessThan": "9.1R16.2",
              "status": "unaffected",
              "version": "9.1R16.2",
              "versionType": "semver"
            },
            {
              "lessThan": "9.1R17.2",
              "status": "unaffected",
              "version": "9.1R17.2",
              "versionType": "semver"
            },
            {
              "lessThan": "9.1R18.3",
              "status": "unaffected",
              "version": "9.1R18.3",
              "versionType": "semver"
            },
            {
              "lessThan": "22.1R6.1",
              "status": "unaffected",
              "version": "22.1R6.1",
              "versionType": "semver"
            },
            {
              "lessThan": "22.2R4.1",
              "status": "affected",
              "version": "22.2R4.1",
              "versionType": "semver"
            },
            {
              "lessThan": "22.3R1.1",
              "status": "affected",
              "version": "22.3R1.1",
              "versionType": "semver"
            },
            {
              "lessThan": "22.4R1.1",
              "status": "affected",
              "version": "22.4R1.1",
              "versionType": "semver"
            },
            {
              "lessThan": "22.5R1.2",
              "status": "affected",
              "version": "22.5R1.2",
              "versionType": "semver"
            },
            {
              "lessThan": "22.6R1.1",
              "status": "affected",
              "version": "22.6R1.1",
              "versionType": "semver"
            },
            {
              "lessThan": "22.4R2.3",
              "status": "affected",
              "version": "22.4R2.3",
              "versionType": "semver"
            },
            {
              "lessThan": "22.5R2.3",
              "status": "affected",
              "version": "22.5R2.3",
              "versionType": "semver"
            },
            {
              "lessThan": "22.6R2.2",
              "status": "affected",
              "version": "22.6R2.2",
              "versionType": "semver"
            },
            {
              "lessThan": "22.2R4.1",
              "status": "unaffected",
              "version": "22.2R4.1",
              "versionType": "semver"
            },
            {
              "lessThan": "22.3R1",
              "status": "unaffected",
              "version": "22.3R1",
              "versionType": "semver"
            },
            {
              "lessThan": "22.4R1.1",
              "status": "unaffected",
              "version": "22.4R1.1",
              "versionType": "semver"
            },
            {
              "lessThan": "22.5R1.1",
              "status": "unaffected",
              "version": "22.5R1.1",
              "versionType": "semver"
            },
            {
              "lessThan": "22.6R1.1",
              "status": "unaffected",
              "version": "22.6R1.1",
              "versionType": "semver"
            },
            {
              "lessThan": "22.4R2.2",
              "status": "unaffected",
              "version": "22.4R2.2",
              "versionType": "semver"
            },
            {
              "lessThan": "22.5R2.2",
              "status": "unaffected",
              "version": "22.5R2.2",
              "versionType": "semver"
            },
            {
              "lessThan": "22.6R2.2",
              "status": "unaffected",
              "version": "22.6R2.2",
              "versionType": "semver"
            }
          ]
        },
        {
          "product": "ICS",
          "vendor": "Ivant ",
          "versions": [
            {
              "lessThan": "9.1R15.3",
              "status": "affected",
              "version": "9.1R15.3",
              "versionType": "semver"
            }
          ]
        },
        {
          "product": "IPS",
          "vendor": "Ivanti",
          "versions": [
            {
              "lessThan": "9.1R18.4",
              "status": "affected",
              "version": "9.1R18.4",
              "versionType": "semver"
            },
            {
              "lessThan": "9.1R17.3",
              "status": "affected",
              "version": "9.1R17.3",
              "versionType": "semver"
            },
            {
              "lessThan": "22.5R1.2",
              "status": "affected",
              "version": "22.5R1.2",
              "versionType": "semver"
            },
            {
              "lessThan": "9.1R18.2",
              "status": "unaffected",
              "version": "9.1R18.2",
              "versionType": "semver"
            },
            {
              "lessThan": "9.1R17.2",
              "status": "unaffected",
              "version": "9.1R17.2",
              "versionType": "semver"
            },
            {
              "lessThan": "22.5R1.1",
              "status": "unaffected",
              "version": "22.5R1.1",
              "versionType": "semver"
            }
          ]
        }
      ],
      "descriptions": [
        {
          "lang": "en",
          "value": "An XML external entity or XXE vulnerability in the SAML component of Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) and ZTA gateways which allows an attacker to access certain restricted resources without authentication."
        }
      ],
      "metrics": [
        {
          "cvssV3_0": {
            "baseScore": 8.3,
            "baseSeverity": "HIGH",
            "vectorString": "CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L",
            "version": "3.0"
          }
        }
      ],
      "providerMetadata": {
        "dateUpdated": "2024-02-13T04:07:04.355Z",
        "orgId": "36234546-b8fa-4601-9d6f-f4e334aa8ea1",
        "shortName": "hackerone"
      },
      "references": [
        {
          "url": "https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US"
        }
      ]
    }
  },
  "cveMetadata": {
    "assignerOrgId": "36234546-b8fa-4601-9d6f-f4e334aa8ea1",
    "assignerShortName": "hackerone",
    "cveId": "CVE-2024-22024",
    "datePublished": "2024-02-13T04:07:04.355Z",
    "dateReserved": "2024-01-04T01:04:06.574Z",
    "dateUpdated": "2025-05-09T18:26:09.386Z",
    "state": "PUBLISHED"
  },
  "dataType": "CVE_RECORD",
  "dataVersion": "5.1",
  "vulnerability-lookup:meta": {
    "epss": {
      "cve": "CVE-2024-22024",
      "date": "2026-06-23",
      "epss": "0.94721",
      "percentile": "0.99846"
    },
    "fkie_nvd": {
      "configurations": "[{\"nodes\": [{\"operator\": \"OR\", \"negate\": false, \"cpeMatch\": [{\"vulnerable\": true, \"criteria\": \"cpe:2.3:a:ivanti:connect_secure:9.1:r14.4:*:*:*:*:*:*\", \"matchCriteriaId\": \"06520C75-9326-4C21-8AD6-6DE1ED031959\"}, {\"vulnerable\": true, \"criteria\": \"cpe:2.3:a:ivanti:connect_secure:9.1:r17.2:*:*:*:*:*:*\", \"matchCriteriaId\": \"8971445A-D65F-4C0E-906F-7AC4953C5689\"}, {\"vulnerable\": true, \"criteria\": \"cpe:2.3:a:ivanti:connect_secure:9.1:r18.3:*:*:*:*:*:*\", \"matchCriteriaId\": \"014C7627-F211-48B1-80FA-3A7F608B4F23\"}, {\"vulnerable\": true, \"criteria\": \"cpe:2.3:a:ivanti:connect_secure:22.4:r2.2:*:*:*:*:*:*\", \"matchCriteriaId\": \"C4F6AA81-68BC-40B1-9062-DD678B52AAC7\"}, {\"vulnerable\": true, \"criteria\": \"cpe:2.3:a:ivanti:connect_secure:22.5:r1.1:*:*:*:*:*:*\", \"matchCriteriaId\": \"5CF1705D-BE88-4B19-BE66-6628D8D8B688\"}, {\"vulnerable\": true, \"criteria\": \"cpe:2.3:a:ivanti:connect_secure:22.5:r2.2:*:*:*:*:*:*\", \"matchCriteriaId\": \"49E6C8D1-612D-4C63-B3D4-D4AEE2747770\"}]}]}, {\"nodes\": [{\"operator\": \"OR\", \"negate\": false, \"cpeMatch\": [{\"vulnerable\": true, \"criteria\": \"cpe:2.3:a:ivanti:policy_secure:22.5:r1.1:*:*:*:*:*:*\", \"matchCriteriaId\": \"198A80DF-4BD5-4325-85FE-992324AB2166\"}]}]}, {\"nodes\": [{\"operator\": \"OR\", \"negate\": false, \"cpeMatch\": [{\"vulnerable\": true, \"criteria\": \"cpe:2.3:a:ivanti:zero_trust_access:22.6:r1.3:*:*:*:*:*:*\", \"matchCriteriaId\": \"E70E1C11-4209-49F0-952E-636F67187225\"}]}]}]",
      "descriptions": "[{\"lang\": \"en\", \"value\": \"An XML external entity or XXE vulnerability in the SAML component of Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) and ZTA gateways which allows an attacker to access certain restricted resources without authentication.\"}, {\"lang\": \"es\", \"value\": \"Una entidad externa XML o vulnerabilidad XXE en el componente SAML de Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) y puertas de enlace ZTA que permite a un atacante acceder a ciertos recursos restringidos sin autenticaci\\u00f3n.\"}]",
      "id": "CVE-2024-22024",
      "lastModified": "2024-11-21T08:55:25.180",
      "metrics": "{\"cvssMetricV31\": [{\"source\": \"nvd@nist.gov\", \"type\": \"Primary\", \"cvssData\": {\"version\": \"3.1\", \"vectorString\": \"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L\", \"baseScore\": 8.3, \"baseSeverity\": \"HIGH\", \"attackVector\": \"NETWORK\", \"attackComplexity\": \"LOW\", \"privilegesRequired\": \"NONE\", \"userInteraction\": \"NONE\", \"scope\": \"CHANGED\", \"confidentialityImpact\": \"LOW\", \"integrityImpact\": \"LOW\", \"availabilityImpact\": \"LOW\"}, \"exploitabilityScore\": 3.9, \"impactScore\": 3.7}], \"cvssMetricV30\": [{\"source\": \"support@hackerone.com\", \"type\": \"Secondary\", \"cvssData\": {\"version\": \"3.0\", \"vectorString\": \"CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L\", \"baseScore\": 8.3, \"baseSeverity\": \"HIGH\", \"attackVector\": \"NETWORK\", \"attackComplexity\": \"LOW\", \"privilegesRequired\": \"NONE\", \"userInteraction\": \"NONE\", \"scope\": \"CHANGED\", \"confidentialityImpact\": \"LOW\", \"integrityImpact\": \"LOW\", \"availabilityImpact\": \"LOW\"}, \"exploitabilityScore\": 3.9, \"impactScore\": 3.7}]}",
      "published": "2024-02-13T04:15:07.943",
      "references": "[{\"url\": \"https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US\", \"source\": \"support@hackerone.com\", \"tags\": [\"Vendor Advisory\"]}, {\"url\": \"https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\", \"tags\": [\"Vendor Advisory\"]}]",
      "sourceIdentifier": "support@hackerone.com",
      "vulnStatus": "Modified",
      "weaknesses": "[{\"source\": \"nvd@nist.gov\", \"type\": \"Primary\", \"description\": [{\"lang\": \"en\", \"value\": \"CWE-611\"}]}]"
    },
    "nvd": "{\"cve\":{\"id\":\"CVE-2024-22024\",\"sourceIdentifier\":\"support@hackerone.com\",\"published\":\"2024-02-13T04:15:07.943\",\"lastModified\":\"2025-10-31T16:35:28.557\",\"vulnStatus\":\"Modified\",\"cveTags\":[],\"descriptions\":[{\"lang\":\"en\",\"value\":\"An XML external entity or XXE vulnerability in the SAML component of Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) and ZTA gateways which allows an attacker to access certain restricted resources without authentication.\"},{\"lang\":\"es\",\"value\":\"Una entidad externa XML o vulnerabilidad XXE en el componente SAML de Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) y puertas de enlace ZTA que permite a un atacante acceder a ciertos recursos restringidos sin autenticaci\u00f3n.\"}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L\",\"baseScore\":8.3,\"baseSeverity\":\"HIGH\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"NONE\",\"scope\":\"CHANGED\",\"confidentialityImpact\":\"LOW\",\"integrityImpact\":\"LOW\",\"availabilityImpact\":\"LOW\"},\"exploitabilityScore\":3.9,\"impactScore\":3.7}],\"cvssMetricV30\":[{\"source\":\"support@hackerone.com\",\"type\":\"Secondary\",\"cvssData\":{\"version\":\"3.0\",\"vectorString\":\"CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L\",\"baseScore\":8.3,\"baseSeverity\":\"HIGH\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"NONE\",\"scope\":\"CHANGED\",\"confidentialityImpact\":\"LOW\",\"integrityImpact\":\"LOW\",\"availabilityImpact\":\"LOW\"},\"exploitabilityScore\":3.9,\"impactScore\":3.7}]},\"weaknesses\":[{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-611\"}]},{\"source\":\"134c704f-9b21-4f2e-91b3-4a467353bcc0\",\"type\":\"Secondary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-611\"}]}],\"configurations\":[{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:ivanti:connect_secure:9.1:r14.4:*:*:*:*:*:*\",\"matchCriteriaId\":\"06520C75-9326-4C21-8AD6-6DE1ED031959\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:ivanti:connect_secure:9.1:r17.2:*:*:*:*:*:*\",\"matchCriteriaId\":\"8971445A-D65F-4C0E-906F-7AC4953C5689\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:ivanti:connect_secure:9.1:r18.3:*:*:*:*:*:*\",\"matchCriteriaId\":\"014C7627-F211-48B1-80FA-3A7F608B4F23\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:ivanti:connect_secure:22.4:r2.2:*:*:*:*:*:*\",\"matchCriteriaId\":\"C4F6AA81-68BC-40B1-9062-DD678B52AAC7\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:ivanti:connect_secure:22.5:r1.1:*:*:*:*:*:*\",\"matchCriteriaId\":\"5CF1705D-BE88-4B19-BE66-6628D8D8B688\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:ivanti:connect_secure:22.5:r2.2:*:*:*:*:*:*\",\"matchCriteriaId\":\"49E6C8D1-612D-4C63-B3D4-D4AEE2747770\"}]}]},{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:ivanti:policy_secure:22.5:r1.1:*:*:*:*:*:*\",\"matchCriteriaId\":\"198A80DF-4BD5-4325-85FE-992324AB2166\"}]}]},{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:ivanti:zero_trust_access_gateway:22.6:r1.3:*:*:*:*:*:*\",\"matchCriteriaId\":\"8E0CDB32-8FD0-4892-B06D-9BF40A741B05\"}]}]}],\"references\":[{\"url\":\"https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US\",\"source\":\"support@hackerone.com\",\"tags\":[\"Vendor Advisory\"]},{\"url\":\"https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Vendor Advisory\"]}]}}",
    "vulnrichment": {
      "containers": "{\"adp\": [{\"title\": \"CVE Program Container\", \"references\": [{\"url\": \"https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US\", \"tags\": [\"x_transferred\"]}], \"providerMetadata\": {\"orgId\": \"af854a3a-2127-422b-91ae-364da2661108\", \"shortName\": \"CVE\", \"dateUpdated\": \"2024-08-01T22:35:34.846Z\"}}, {\"title\": \"CISA ADP Vulnrichment\", \"metrics\": [{\"other\": {\"type\": \"ssvc\", \"content\": {\"id\": \"CVE-2024-22024\", \"role\": \"CISA Coordinator\", \"options\": [{\"Exploitation\": \"poc\"}, {\"Automatable\": \"yes\"}, {\"Technical Impact\": \"partial\"}], \"version\": \"2.0.3\", \"timestamp\": \"2024-09-16T19:34:58.517182Z\"}}}], \"problemTypes\": [{\"descriptions\": [{\"lang\": \"en\", \"type\": \"CWE\", \"cweId\": \"CWE-611\", \"description\": \"CWE-611 Improper Restriction of XML External Entity Reference\"}]}], \"providerMetadata\": {\"orgId\": \"134c704f-9b21-4f2e-91b3-4a467353bcc0\", \"shortName\": \"CISA-ADP\", \"dateUpdated\": \"2025-05-09T18:26:05.614Z\"}}], \"cna\": {\"metrics\": [{\"cvssV3_0\": {\"version\": \"3.0\", \"baseScore\": 8.3, \"baseSeverity\": \"HIGH\", \"vectorString\": \"CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L\"}}], \"affected\": [{\"vendor\": \"Ivanti\", \"product\": \"ICS\", \"versions\": [{\"status\": \"affected\", \"version\": \"9.1R14.5\", \"lessThan\": \"9.1R14.5\", \"versionType\": \"semver\"}, {\"status\": \"affected\", \"version\": \"9.1R17.3\", \"lessThan\": \"9.1R17.3\", \"versionType\": \"semver\"}, {\"status\": \"affected\", \"version\": \"9.1R18.4\", \"lessThan\": \"9.1R18.4\", \"versionType\": \"semver\"}, {\"status\": \"affected\", \"version\": \"22.1R6.1\", \"lessThan\": \"22.1R6.1\", \"versionType\": \"semver\"}, {\"status\": \"unaffected\", \"version\": \"9.1R14.4\", \"lessThan\": \"9.1R14.4\", \"versionType\": \"semver\"}, {\"status\": \"unaffected\", \"version\": \"9.1R15.2\", \"lessThan\": \"9.1R15.2\", \"versionType\": \"semver\"}, {\"status\": \"unaffected\", \"version\": \"9.1R16.2\", \"lessThan\": \"9.1R16.2\", \"versionType\": \"semver\"}, {\"status\": \"unaffected\", \"version\": \"9.1R17.2\", \"lessThan\": \"9.1R17.2\", \"versionType\": \"semver\"}, {\"status\": \"unaffected\", \"version\": \"9.1R18.3\", \"lessThan\": \"9.1R18.3\", \"versionType\": \"semver\"}, {\"status\": \"unaffected\", \"version\": \"22.1R6.1\", \"lessThan\": \"22.1R6.1\", \"versionType\": \"semver\"}, {\"status\": \"affected\", \"version\": \"22.2R4.1\", \"lessThan\": \"22.2R4.1\", \"versionType\": \"semver\"}, {\"status\": \"affected\", \"version\": \"22.3R1.1\", \"lessThan\": \"22.3R1.1\", \"versionType\": \"semver\"}, {\"status\": \"affected\", \"version\": \"22.4R1.1\", \"lessThan\": \"22.4R1.1\", \"versionType\": \"semver\"}, {\"status\": \"affected\", \"version\": \"22.5R1.2\", \"lessThan\": \"22.5R1.2\", \"versionType\": \"semver\"}, {\"status\": \"affected\", \"version\": \"22.6R1.1\", \"lessThan\": \"22.6R1.1\", \"versionType\": \"semver\"}, {\"status\": \"affected\", \"version\": \"22.4R2.3\", \"lessThan\": \"22.4R2.3\", \"versionType\": \"semver\"}, {\"status\": \"affected\", \"version\": \"22.5R2.3\", \"lessThan\": \"22.5R2.3\", \"versionType\": \"semver\"}, {\"status\": \"affected\", \"version\": \"22.6R2.2\", \"lessThan\": \"22.6R2.2\", \"versionType\": \"semver\"}, {\"status\": \"unaffected\", \"version\": \"22.2R4.1\", \"lessThan\": \"22.2R4.1\", \"versionType\": \"semver\"}, {\"status\": \"unaffected\", \"version\": \"22.3R1\", \"lessThan\": \"22.3R1\", \"versionType\": \"semver\"}, {\"status\": \"unaffected\", \"version\": \"22.4R1.1\", \"lessThan\": \"22.4R1.1\", \"versionType\": \"semver\"}, {\"status\": \"unaffected\", \"version\": \"22.5R1.1\", \"lessThan\": \"22.5R1.1\", \"versionType\": \"semver\"}, {\"status\": \"unaffected\", \"version\": \"22.6R1.1\", \"lessThan\": \"22.6R1.1\", \"versionType\": \"semver\"}, {\"status\": \"unaffected\", \"version\": \"22.4R2.2\", \"lessThan\": \"22.4R2.2\", \"versionType\": \"semver\"}, {\"status\": \"unaffected\", \"version\": \"22.5R2.2\", \"lessThan\": \"22.5R2.2\", \"versionType\": \"semver\"}, {\"status\": \"unaffected\", \"version\": \"22.6R2.2\", \"lessThan\": \"22.6R2.2\", \"versionType\": \"semver\"}]}, {\"vendor\": \"Ivant \", \"product\": \"ICS\", \"versions\": [{\"status\": \"affected\", \"version\": \"9.1R15.3\", \"lessThan\": \"9.1R15.3\", \"versionType\": \"semver\"}]}, {\"vendor\": \"Ivanti\", \"product\": \"IPS\", \"versions\": [{\"status\": \"affected\", \"version\": \"9.1R18.4\", \"lessThan\": \"9.1R18.4\", \"versionType\": \"semver\"}, {\"status\": \"affected\", \"version\": \"9.1R17.3\", \"lessThan\": \"9.1R17.3\", \"versionType\": \"semver\"}, {\"status\": \"affected\", \"version\": \"22.5R1.2\", \"lessThan\": \"22.5R1.2\", \"versionType\": \"semver\"}, {\"status\": \"unaffected\", \"version\": \"9.1R18.2\", \"lessThan\": \"9.1R18.2\", \"versionType\": \"semver\"}, {\"status\": \"unaffected\", \"version\": \"9.1R17.2\", \"lessThan\": \"9.1R17.2\", \"versionType\": \"semver\"}, {\"status\": \"unaffected\", \"version\": \"22.5R1.1\", \"lessThan\": \"22.5R1.1\", \"versionType\": \"semver\"}]}], \"references\": [{\"url\": \"https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US\"}], \"descriptions\": [{\"lang\": \"en\", \"value\": \"An XML external entity or XXE vulnerability in the SAML component of Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) and ZTA gateways which allows an attacker to access certain restricted resources without authentication.\"}], \"providerMetadata\": {\"orgId\": \"36234546-b8fa-4601-9d6f-f4e334aa8ea1\", \"shortName\": \"hackerone\", \"dateUpdated\": \"2024-02-13T04:07:04.355Z\"}}}",
      "cveMetadata": "{\"cveId\": \"CVE-2024-22024\", \"state\": \"PUBLISHED\", \"dateUpdated\": \"2025-05-09T18:26:09.386Z\", \"dateReserved\": \"2024-01-04T01:04:06.574Z\", \"assignerOrgId\": \"36234546-b8fa-4601-9d6f-f4e334aa8ea1\", \"datePublished\": \"2024-02-13T04:07:04.355Z\", \"assignerShortName\": \"hackerone\"}",
      "dataType": "CVE_RECORD",
      "dataVersion": "5.1"
    }
  }
}

CERTFR-2024-ALE-001

Vulnerability from certfr_alerte - Published: - Updated:

[Mise à jour du 4 mars 2024] Ivanti a publié le 29 février des recommandations de résolution pour les Ivanti Connect Secure ou Policy Secure en machine virtuelle [16].

[Mise à jour du 15 février 2024] l'éditeur a publié le 15 février des correctifs pour les versions suivantes, qui n'en disposaient pas encore jusque-là :

Ivanti Connect Secure versions 9.1R15.3, 9.1R16.3, 22.1R6.1, 22.2R4.1, 22.3R1.1 et 22.4R1.1
Ivanti Policy Secure versions 9.1R16.3, 22.4R1.1 et 22.6R1.1

[Mise à jour du 09 février 2024] Ajout de la vulnérabilité CVE-2024-22024

La publication des premières vulnérabilités a fait suite à la découverte par l'éditeur de leur exploitation ciblée, probablement depuis 2023. L'exploitation de ces vulnérabilités aurait permis aux attaquants de se latéraliser et de récupérer des identifiants sur les équipements Ivanti compromis. Ensuite, des codes d'exploitation, puis de nouvelles vulnérabilités, ont été publiés mi-janvier. L'ensemble de ces vulnérabilités est exploité massivement.

Le 08 février 2024, Ivanti a publié un bulletin de sécurité concernant la vulnérabilité CVE-2024-22024, affectant les produits Ivanti Connect Secure, Ivanti Policy Secure et ZTA gateways. Le détail des versions vulnérables est disponible dans la section solution. Elle permet à un attaquant non authentifié d'accéder à des ressources restreintes. Les chercheurs ayant découvert cette vulnérabilité ont publié une preuve de concept.

[Mise à jour du 04 février 2024] Ajout de recommandations pour une configuration en grappe

[Mise à jour du 02 février 2024] Correctifs disponibles pour les versions Ivanti Connect Secure 22.5R2.2 et Ivanti Policy Secure 22.5R1.1. Clarification de la procédure.

[Mise à jour du 01 février 2024] Fusion de la partie solution et contournement provisoire

[Version du 31 janvier 2024] Ajout d’informations sur les correctifs et des nouvelles vulnérabilités

L'éditeur a publié des informations concernant deux nouvelles vulnérabilités. La vulnérabilité CVE-2024-21888 permet une élévation de privilège sur le composant web. La vulnérabilité CVE-2024-21893 permet à un attaquant non authentifié de forger des requêtes côté serveur (SSRF) au travers du composant SAML. Cette dernière est activement exploitée.

Des correctifs sont disponibles, veuillez vous référer à la section Solution. Le CERT-FR a connaissance de tentatives de contournement de l'outil ICT même si la version externe est utilisée.

[Version du 23 janvier 2024]

Des acteurs malveillants exploitent massivement les vulnérabilités dans le but d’extorquer les comptes et les mots de passe ayant pu transiter sur les équipements vulnérables.

La vulnérabilité CVE-2023-46805 permet à un attaquant de contourner l'authentification, tandis que la vulnérabilité CVE-2024-21887 permet à un administrateur distant et authentifié d'exécuter des commandes arbitraires. Un attaquant qui exploite ces deux vulnérabilités peut par conséquent prendre le contrôle complet de l’équipement.

Ivanti indique que ces vulnérabilités sont activement exploitées dans le cadre d'attaques ciblées. Le CERT-FR a connaissance de nombreux équipements compromis. Différentes sources ont mentionné l'exploitation de ces vulnérabilités afin de mettre en place des méthodes de persistance sur l'équipement [1][3].

Des codes d'exploitations publics sont disponibles sur Internet afin d'exploiter les deux vulnérabilités à la suite.

Détection

[Version du 23 janvier 2024]

Pour savoir si vous êtes concernés par ces attaques, le CERT-FR vous propose les actions suivantes :

Exécuter le script Integrity Check Tool publié par IVANTI [5] sur tous les équipements composant la grappe (cluster). En cas de résultats non nuls aux étapes 8 et 9, l’équipement est compromis ;
L'attaquant peut tenter de contourner les contrôles effectués par l'ICT, il est donc également nécessaire de rechercher dans les journaux toute trace des marqueurs publiés par les sources publiques [1] [3] [11] [12] [13] [14]. Note : Ces indicateurs n'ont pas été qualifiés par le CERT-FR.

En cas de détection positive :

Réaliser un gel de données (instantanés pour les Appliances virtuelles, isolement de l’équipement s’il s’agit d’un équipement physique). Une fois le gel des données effectué ou en cas d’impossibilité de maintenir un isolement des équipements physiques, procéder aux mesures de contournements et recommandations mentionnées dans la section suivante.
Signaler l’événement auprès du CERT-FR en mettant en copie vos éventuels CSIRT métiers. Le CERT-FR vous recontactera si nécessaire pour le traitement de l’incident ou vous communiquera des éléments supplémentaires.

Par ailleurs, le CERT-FR réalise régulièrement des scans à partir des IP mentionnées dans la page associée [6] et contacte les entités identifiées comme vulnérables ou compromises.

Contournement provisoire

[Mise à jour du 01 février 2024] Fusion de la partie solution et contournement provisoire

Suite à la mise à jour de la documentation de l'éditeur ainsi que de la mise à disposition de nouveaux correctifs, la procédure à suivre a été déplacée dans la section Solution.

[Mise à jour du 31 janvier 2024] Ajout d'informations sur la nouvelle mesure de contournement

L'éditeur a publié une nouvelle mesure de contournement mitigation.release.20240126.5.xml [15]. Celle-ci permet de se prémunir des vulnérabilités CVE-2024-21888 et CVE-2024-21893 ainsi que des vulnérabilités CVE-2023-46805 et CVE-2024-21887.

Des correctifs sont présentés dans la section Solution, la mesure de contournement ne doit être appliquée que si les correctifs ne sont pas disponibles pour les produits concernés.

[Version du 23 Janvier 2024]

L’éditeur indique avoir connaissance d'exploitations publiques sur internet et une exploitation en masse des deux vulnérabilités à la suite. Tout équipement dont le contournement provisoire initial (import du fichier xml) n'aurait pas déjà été appliqué doit être considéré comme compromis.
Si les résultats de l’ICT indiquent une compromission (résultats non nuls aux étapes 8 et 9) ou si le contournement provisoire initial (import du fichier xml) n’a pas été réalisé, le CERT-FR recommande fortement de suivre la procédure documentée par l'éditeur [4] pour la remise en production d'un équipement compromis.

Recommandations supplémentaires du cert-fr

Du fait de la compromission des équipements et de la possibilité que l'attaquant ait injecté du code malveillant afin de récupérer des noms d'utilisateur et des mots de passe, le CERT-FR recommande de :

Réinitialiser tous les secrets (de façon générale) configurés sur les équipements affectés ;
Réinitialiser tous les secrets d’authentification susceptibles d’avoir transités sur les équipements affectés ;
Rechercher toutes traces de latéralisation sur le reste du système d’information.

Solution

[Mise à jour du 4 mars 2024] Ivanti recommande aux clients utilisant Ivanti Connect Secure ou Policy Secure en machine virtuelle de ne plus effectuer de remise en état d'usine mais plutôt repartir d'une image (template).

Procédure de résolution pour les Ivanti Connect Secure ou Policy Secure en machine virtuelle :

Effectuer une sauvegarde de la configuration
Deployer une nouvelle machine à partir d'une image (template) du site de l'éditeur
Restaurer la configuration à partir de la sauvegarde
Effectuer une rotation des secrets

[Mise à jour du 15 février 2024] Publication de nouveaux correctifs sécurité. Ivanti a publié un correctif pour la vulnérabilité CVE-2024-22024 pour les produits suivants :

Ivanti Connect Secure versions 9.1R14.5, 9.1R15.3, 9.1R16.3, 9.1R17.3, 9.1R18.4, 22.1R6.1, 22.2R4.1, 22.3R1.1, 22.4R1.1, 22.4R2.3, 22.5R1.2, 22.5R2.3 et 22.6R2.2
Ivanti Policy Secure versions 9.1R16.3, 9.1R17.3, 9.1R18.4, 22.4R1.1, 22.5R1.2 et 22.6R1.1
ZTA gateways versions 22.5R1.6, 22.6R1.5 et 22.6R1.7

[Mise à jour du 09 février 2024] Ajout de la vulnérabilité CVE-2024-22024

Si un patch a été appliqué avec les versions du 31/01 au 01/02, le CERT-FR recommande d'effectuer les actions suivantes avant l'application du correctif :

Effectuer une sauvegarde
Effectuer un scan de l'ICS externe
- En cas de scan positif à l'ICS externe avant la mise à jour, la remise en état d'usine est nécessaire.

Ensuite, une fois le correctif appliqué, si une remise à la configuration d'usine (Factory Reset) a déjà été effectuée lors de l'application du correctif du 31 janvier ou 01 février, l'éditeur indique qu'une nouvelle remise à la configuration d'usine n'est pas nécessaire.

Enfin, pour les équipements vulnérables ne bénéficiant pas encore de correctif, l'éditeur recommande d'appliquer la mesure de contournement publiée le 31 janvier (fichier mitigation.release.20240126.5.xml).

[Mise à jour du 04 février 2024] Ajout de recommandations pour une configuration en grappe

Recommandation additionnelle pour les configurations en grappe (clusters) :

Se référer à la documentation de l’éditeur à la section « Additionnal Detail for Recovering Clusters »

https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US

[Mise à jour du 02 février 2024] L'éditeur continue de publier des versions correctives. Des correctifs sont désormais disponibles pour les versions Ivanti Connect Secure 22.5R2.2 et Ivanti Policy Secure 22.5R1.1

[Mise à jour du 01 février 2024] Fusion de la partie solution et contournement provisoire

L'éditeur a publié des correctifs pour Ivanti Connect Secure dans les versions 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 et 22.5R1.1 et pour ZTA dans la version 22.6R1.3 [0][15].

La procédure suivante, proposée par l'éditeur, peut être suivie quelle que soit la disponibilité du correctif pour l'équipement. En cas d'indisponibilité d'un correctif, le fichier de contournement doit être installé.

Sauvegarder la configuration de l’équipement ;
Effectuer une remise à la configuration de sortie d'usine (Factory Reset) ET procéder à une montée de version du micrologiciel (firmware) si le correctif est disponible :
- la procédure est documentée dans le bulletin de l'éditeur [7],
- Une montée de version va supprimer/écraser les fichiers ajoutés/modifiés par l’attaquant,
- Les versions des firmwares peuvent être téléchargées sur la page de l'éditeur [8],
- NOTE : Un retour arrière (rollback) sur la version compromise va rendre le boîtier vulnérable. Deux montées de version suppriment la version compromise puisqu’une seule version de rollback est conservée sur l’équipement ;
S'il n'est pas possible d'installer une version disposant du correctif, une fois la remise à la configuration de sortie d'usine terminée, effectuer une mise à jour vers la version installée précédemment ;
Restaurer la configuration de l’équipement à partir de la sauvegarde : [9] [10] ;
- Si vous avez appliqué la mesure de contournement XML et que vous avez appliqué la version corrigée du micrologiciel, retirer le XML (How to Add and Remove XML files to your Ivanti Connect Secure and Ivanti Policy Secure Appliances : https://forums.ivanti.com/s/article/Download-Links-Related-to-CVE-2023-46805-and-CVE-2024-21887)
Révoquer et réémettre tous les certificats présents sur les équipements affectés :
- Certificats utilisés pour les machines et/ou pour l’authentification utilisateur (coté client et serveur),
- Certificats de signature de code et les certificats TLS pour l’interface exposée ;
Réinitialiser le mot de passe d'administration ;
Réinitialiser les clés d’API stockées sur l’équipement ;
Réinitialiser les mots de passe de tout compte local défini sur la passerelle, y compris les comptes de service utilisés dans la configuration liée aux serveurs d’authentification.
Réinitialiser les authentifications des serveurs de licence ;
Si votre micrologiciel n’est pas sur une version corrigée, Installer le fichier de contournement (fichier .xml) sur l’équipement sain. Sinon, l’installation du fichier xml n’est pas nécessaire.

Une fois le contournement installé, plus aucune configuration ne doit être poussée sur l'équipement jusqu'à l'application du correctif de sécurité. En effet, l'éditeur indique que cela entraîne le malfonctionnement de certains services internes ce qui conduit à rendre le contournement inefficace.

L'utilisation de mesures de contournement n'est pas nécessaire après la mise à jour de l'équipement vers une version non vulnérable. L'éditeur propose un outil de suppression de contournement si ce dernier a été appliqué avant la mise à jour.

Impacted products

Vendor	Product	Description
Ivanti	N/A	Ivanti Connect Secure (ICS, anciennement Pulse Connect Secure) toutes versions
Ivanti	N/A	Ivanti Neurons pour passerelles ZTA, toutes versions, en cours d'installation et non connecté à un contrôleur ZTA
Ivanti	N/A	Ivanti Policy Secure gateways (IPS) toutes versions

References

Title

Publication Time

Tags

[0] Bulletin de sécurité Ivanti 000090123	2024-01-10	vendor-advisory
[15] Portail de téléchargement de l'éditeur	-	other
[6] Page du CERT-FR relative aux scans	-	other
[13] Liste d'indicateurs de compromission publiée par HarfangLab du 22 janvier 2024	-	other
[4] Bulletin technique Ivanti du 16 janvier mis à jour le 19 janvier 2024	-	other
[14] Alerte de sécurité de JPCert du 11 janvier 2024	-	other
Détails de la vulnérabilité CVE-2024-22024	-	other
[9] Bulletin technique Ivanti relatif à la restauration des données	-	other
[16] Billet de blog Ivanti sur Enhanced External Integrity Checker Tool	-	other
[5] Bulletin technique Ivanti relatif à Integrity Check Tool	-	other
Avis CERT-FR CERTFR-2024-AVI-0085 du 31 janvier 2024	-	other
[11] Publication Twitter du 22 janvier 2024	-	other
[7] Bulletin technique Ivanti relatif à la réinitialisation de l'équipement	-	other
[3] Billet de blogue Mandiant du 12 janvier 2024	-	other
[2] Les bons réflexes en cas d'intrusion sur un système d'information	-	other
[1] Billet de blogue Volexity du 10 janvier 2024	-	other
Recommandation supplémentaires pour les configurations en grappe	-	other
Bulletin de sécurité Ivanti du 08 février 2024	-	other
[10] Bulletin technique Ivanti relatif à la restauration des données	-	other
[8] Bulletin technique Ivanti relatif au téléchargement des firmwares	-	other
Avis CERT-FR CERTFR-2024-AVI-0109 du 09 février 2024	-	other
[12] Billet de blogue Volexity du 18 janvier 2024	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Ivanti Connect Secure (ICS, anciennement Pulse Connect Secure) toutes versions",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    },
    {
      "description": "Ivanti Neurons pour passerelles ZTA, toutes versions, en cours d\u0027installation et non connect\u00e9 \u00e0 un contr\u00f4leur ZTA",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    },
    {
      "description": "Ivanti Policy Secure gateways (IPS) toutes versions",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "",
  "closed_at": "2024-04-15",
  "content": "\u003ch2\u003eContournement provisoire\u003c/h2\u003e\n\u003cp\u003e\u003cspan style=\"color: #000000;\"\u003e\u003cstrong\u003e[Mise \u00e0 jour du 01 f\u00e9vrier 2024]\u003c/strong\u003e Fusion de la partie solution et contournement provisoire\u003c/span\u003e\u003c/p\u003e \u003cp\u003eSuite \u00e0 la mise \u00e0 jour de la documentation de l\u0027\u00e9diteur ainsi que de la mise \u00e0 disposition de nouveaux correctifs, la proc\u00e9dure \u00e0 suivre a \u00e9t\u00e9 d\u00e9plac\u00e9e dans la section Solution.\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 31 janvier 2024] \u003c/strong\u003eAjout d\u0027informations sur la nouvelle mesure de contournement\u003c/p\u003e \u003cp\u003eL\u0027\u00e9diteur a publi\u00e9 une nouvelle mesure de contournement \u003cspan class=\"test-id__field-value slds-form-element__static slds-grow slds-form-element_separator is-read-only iv-cad-fld\" data-aura-rendered-by=\"27:298;a\"\u003e \u003cem\u003emitigation.release.20240126.5.xml\u003c/em\u003e [15]. Celle-ci permet de se pr\u00e9munir des vuln\u00e9rabilit\u00e9s CVE-2024-21888 et CVE-2024-21893 ainsi que des vuln\u00e9rabilit\u00e9s CVE-2023-46805 et CVE-2024-21887.\u003c/span\u003e\u003c/p\u003e \u003cp\u003eDes correctifs sont pr\u00e9sent\u00e9s dans la section Solution, la mesure de contournement ne doit \u00eatre appliqu\u00e9e que si les correctifs ne sont pas disponibles pour les produits concern\u00e9s.\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Version du 23 Janvier 2024]\u003c/strong\u003e\u003c/p\u003e \u003cp\u003eL\u2019\u00e9diteur indique avoir connaissance d\u0027exploitations publiques sur internet et une exploitation en masse des deux vuln\u00e9rabilit\u00e9s \u00e0 la suite. Tout \u00e9quipement dont le contournement provisoire initial (import du fichier \u003cem\u003exml\u003c/em\u003e) n\u0027aurait pas d\u00e9j\u00e0 \u00e9t\u00e9 appliqu\u00e9 doit \u00eatre consid\u00e9r\u00e9 comme compromis.\u003cbr/\u003e Si les r\u00e9sultats de l\u2019\u003cstrong\u003eICT indiquent une compromission\u003c/strong\u003e (r\u00e9sultats non nuls aux \u00e9tapes 8 et 9) ou si le contournement provisoire initial (import du fichier \u003cem\u003exml\u003c/em\u003e) n\u2019a pas \u00e9t\u00e9 r\u00e9alis\u00e9, le CERT-FR recommande fortement de suivre la proc\u00e9dure document\u00e9e par l\u0027\u00e9diteur [4] pour la remise en production d\u0027un \u00e9quipement compromis.\u003c/p\u003e \u003cp\u003e\u00a0\u003c/p\u003e \u003ch2\u003eRecommandations suppl\u00e9mentaires du cert-fr\u003c/h2\u003e \u003cp\u003eDu fait de la compromission des \u00e9quipements et de la possibilit\u00e9 que l\u0027attaquant ait inject\u00e9 du code malveillant afin de r\u00e9cup\u00e9rer des noms d\u0027utilisateur et des mots de passe, le CERT-FR recommande de\u00a0:\u003c/p\u003e \u003col\u003e \u003cli\u003e\u003cstrong\u003eR\u00e9initialiser tous les secrets\u003c/strong\u003e (de fa\u00e7on g\u00e9n\u00e9rale) \u003cu\u003econfigur\u00e9s sur les \u00e9quipements affect\u00e9s ;\u003cbr/\u003e \u003c/u\u003e\u003c/li\u003e \u003cli\u003e\u003cstrong\u003eR\u00e9initialiser tous les secrets d\u2019authentification\u003c/strong\u003e \u003cu\u003esusceptibles d\u2019avoir transit\u00e9s sur les \u00e9quipements affect\u00e9s ;\u003cbr/\u003e \u003c/u\u003e\u003c/li\u003e \u003cli\u003e\u003cstrong\u003eRechercher toutes traces de lat\u00e9ralisation\u003c/strong\u003e sur le reste du syst\u00e8me d\u2019information.\u003c/li\u003e \u003c/ol\u003e \n\n\u003ch2\u003eSolution\u003c/h2\u003e\n\u003cp\u003e\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e[Mise \u00e0 jour du 4 mars 2024]\u003c/strong\u003e Ivanti recommande aux clients utilisant Ivanti Connect Secure ou Policy Secure en machine virtuelle de ne plus effectuer de remise en \u00e9tat d\u0027usine mais plut\u00f4t repartir d\u0027une image (\u003cem\u003etemplate\u003c/em\u003e).\u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cspan style=\"color: #ff0000;\"\u003eProc\u00e9dure de r\u00e9solution pour les Ivanti Connect Secure ou Policy Secure en machine virtuelle :\u003c/span\u003e\u003c/p\u003e \u003col style=\"color: #ff0000;\"\u003e \u003cli\u003e\u003cspan style=\"color: #ff0000;\"\u003eEffectuer une sauvegarde de la configuration\u003c/span\u003e\u003c/li\u003e \u003cli\u003e\u003cspan style=\"color: #ff0000;\"\u003eDeployer une nouvelle machine \u00e0 partir d\u0027une image (\u003cem\u003etemplate\u003c/em\u003e) du site de l\u0027\u00e9diteur\u003c/span\u003e\u003c/li\u003e \u003cli\u003e\u003cspan style=\"color: #ff0000;\"\u003eRestaurer la configuration \u00e0 partir de la sauvegarde\u003c/span\u003e\u003c/li\u003e \u003cli\u003e\u003cspan style=\"color: #ff0000;\"\u003eEffectuer une rotation des secrets\u003c/span\u003e\u003c/li\u003e \u003c/ol\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 15 f\u00e9vrier 2024] \u003c/strong\u003eP\u003cspan class=\"mx_EventTile_body markdown-body\" dir=\"auto\"\u003eublication de nouveaux correctifs s\u00e9curit\u00e9. Ivanti a publi\u00e9 un correctif pour la vuln\u00e9rabilit\u00e9 CVE-2024-22024 pour les produits suivants :\u003c/span\u003e\u003c/p\u003e \u003cul\u003e \u003cli\u003eIvanti Connect Secure versions 9.1R14.5, 9.1R15.3, 9.1R16.3, 9.1R17.3, 9.1R18.4, 22.1R6.1, 22.2R4.1, 22.3R1.1, 22.4R1.1, 22.4R2.3, 22.5R1.2, 22.5R2.3 et 22.6R2.2\u003c/li\u003e \u003cli\u003eIvanti Policy Secure versions 9.1R16.3, 9.1R17.3, 9.1R18.4, 22.4R1.1, 22.5R1.2 et 22.6R1.1\u003c/li\u003e \u003cli\u003eZTA gateways versions 22.5R1.6, 22.6R1.5 et 22.6R1.7\u003c/li\u003e \u003c/ul\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 09 f\u00e9vrier 2024] Ajout de la vuln\u00e9rabilit\u00e9 CVE-2024-22024\u003c/strong\u003e\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e\u003cbr/\u003e \u003c/strong\u003e\u003c/span\u003e\u003c/p\u003e \u003cp\u003eSi un patch a \u00e9t\u00e9 appliqu\u00e9 avec les versions du 31/01 au 01/02, le CERT-FR recommande d\u0027effectuer les actions suivantes avant l\u0027application du correctif\u00a0:\u003c/p\u003e \u003cul\u003e \u003cli\u003eEffectuer une sauvegarde\u003c/li\u003e \u003cli\u003eEffectuer un scan de l\u0027ICS externe \u003cul\u003e \u003cli\u003eEn cas de scan positif \u00e0 l\u0027ICS externe avant la mise \u00e0 jour, la remise en \u00e9tat d\u0027usine est n\u00e9cessaire.\u003c/li\u003e \u003c/ul\u003e \u003c/li\u003e \u003c/ul\u003e \u003cp\u003eEnsuite,\u003cstrong\u003e une fois le correctif appliqu\u00e9\u003c/strong\u003e, si \u003cspan class=\"mx_EventTile_body markdown-body\" dir=\"auto\"\u003eune remise \u00e0 la configuration d\u0027usine (\u003cem\u003e\u003cstrong\u003eFactory Reset\u003c/strong\u003e\u003c/em\u003e) a d\u00e9j\u00e0 \u00e9t\u00e9 effectu\u00e9e lors de l\u0027application du correctif du 31 janvier ou 01 f\u00e9vrier, l\u0027\u00e9diteur indique qu\u0027une nouvelle remise \u00e0 la configuration d\u0027usine n\u0027est pas n\u00e9cessaire.\u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cspan class=\"mx_EventTile_body markdown-body\" dir=\"auto\"\u003eEnfin, pour les \u00e9quipements vuln\u00e9rables ne b\u00e9n\u00e9ficiant pas encore de correctif, l\u0027\u00e9diteur recommande d\u0027appliquer la mesure de contournement publi\u00e9e le 31 janvier (fichier mitigation.release.20240126.5.xml).\u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 04 f\u00e9vrier 2024] Ajout de recommandations pour une configuration en grappe\u003c/strong\u003e\u003c/p\u003e \u003cp\u003e\u003cspan class=\"mx_EventTile_body\" dir=\"auto\"\u003e\u003cstrong\u003eRecommandation additionnelle pour les configurations en grappe (clusters) :\u003c/strong\u003e \u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cspan class=\"mx_EventTile_body\" dir=\"auto\"\u003eSe r\u00e9f\u00e9rer \u00e0 la documentation de l\u2019\u00e9diteur \u00e0 la section \u00ab Additionnal Detail for Recovering Clusters \u00bb \u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cspan class=\"mx_EventTile_body\" dir=\"auto\"\u003e\u003ca class=\"linkified\" href=\"https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US\" rel=\"noreferrer noopener\" target=\"_blank\"\u003ehttps://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US\u003c/a\u003e \u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 02 f\u00e9vrier 2024] \u003c/strong\u003eL\u0027\u00e9diteur continue de publier des versions correctives. Des correctifs sont d\u00e9sormais disponibles pour les versions\u00a0Ivanti Connect Secure 22.5R2.2 et Ivanti Policy Secure 22.5R1.1\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 01 f\u00e9vrier 2024]\u003c/strong\u003e Fusion de la partie solution et contournement provisoire\u003c/p\u003e \u003cp\u003eL\u0027\u00e9diteur a publi\u00e9 des correctifs pour Ivanti Connect Secure dans les versions 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 et 22.5R1.1 et pour ZTA dans la version 22.6R1.3 [0][15].\u003c/p\u003e \u003cp\u003eLa proc\u00e9dure suivante, propos\u00e9e par l\u0027\u00e9diteur, peut \u00eatre suivie quelle que soit la disponibilit\u00e9 du correctif pour l\u0027\u00e9quipement. En cas d\u0027indisponibilit\u00e9 d\u0027un correctif, le fichier de contournement doit \u00eatre install\u00e9.\u003c/p\u003e \u003col\u003e \u003cli\u003e\u003cstrong\u003eSauvegarder la configuration de l\u2019\u003cspan class=\"mx_EventTile_body\" dir=\"auto\"\u003e\u00e9quipement\u003c/span\u003e ;\u003cbr/\u003e \u003c/strong\u003e\u003c/li\u003e \u003cli\u003e\u003cspan style=\"color: #000000;\"\u003eEffectuer une remise \u00e0 la configuration de sortie d\u0027usine (\u003cem\u003e\u003cstrong\u003eFactory Reset\u003c/strong\u003e\u003c/em\u003e) \u003cstrong\u003eET\u003c/strong\u003e proc\u00e9der \u00e0 une mont\u00e9e de version du micrologiciel\u003cem\u003e (firmware\u003c/em\u003e) si le correctif est disponible :\u003c/span\u003e\u003cem\u003e\u003cbr/\u003e \u003c/em\u003e \u003cul\u003e \u003cli\u003ela proc\u00e9dure est document\u00e9e dans le bulletin de l\u0027\u00e9diteur [7],\u003c/li\u003e \u003cli\u003eUne mont\u00e9e de version va supprimer/\u00e9craser les fichiers ajout\u00e9s/modifi\u00e9s par l\u2019attaquant,\u003c/li\u003e \u003cli\u003eLes versions des firmwares peuvent \u00eatre t\u00e9l\u00e9charg\u00e9es sur la page de l\u0027\u00e9diteur [8],\u003c/li\u003e \u003cli\u003eNOTE\u00a0: Un retour arri\u00e8re (\u003cem\u003erollback\u003c/em\u003e) sur la version compromise va rendre le bo\u00eetier vuln\u00e9rable. Deux mont\u00e9es de version suppriment la version compromise puisqu\u2019une seule version de \u003cem\u003erollback\u003c/em\u003e est conserv\u00e9e sur l\u2019\u00e9quipement ;\u003c/li\u003e \u003c/ul\u003e \u003c/li\u003e \u003cli\u003eS\u0027il n\u0027est pas possible d\u0027installer une version disposant du correctif, une fois la remise\u00a0\u00e0 la configuration de sortie d\u0027usine termin\u00e9e, \u003cstrong\u003eeffectuer une mise \u00e0 jour vers la version install\u00e9e \u003cem\u003epr\u00e9c\u00e9demment \u003c/em\u003e\u003c/strong\u003e;\u003c/li\u003e \u003cli\u003eRestaurer la configuration de l\u2019\u00e9quipement \u00e0 partir de la sauvegarde : [9] [10] ; \u003cul\u003e \u003cli\u003eSi vous avez appliqu\u00e9 la mesure de contournement XML et que vous avez appliqu\u00e9 la version corrig\u00e9e du micrologiciel, retirer le XML (How to Add and Remove XML files to your Ivanti Connect Secure and Ivanti Policy Secure Appliances : \u003ca class=\"linkified\" href=\"https://forums.ivanti.com/s/article/Download-Links-Related-to-CVE-2023-46805-anownload-Links-Related-to-CVE-2023-46805-and-CVE-2024-21887\" rel=\"noreferrer noopener\" target=\"_blank\"\u003ehttps://forums.ivanti.com/s/article/Download-Links-Related-to-CVE-2023-46805-and-CVE-2024-21887\u003c/a\u003e)\u003c/li\u003e \u003c/ul\u003e \u003c/li\u003e \u003cli\u003e\u003cstrong\u003eR\u00e9voquer et r\u00e9\u00e9mettre\u003c/strong\u003e tous les certificats pr\u00e9sents sur les \u00e9quipements affect\u00e9s : \u003cul\u003e \u003cli\u003eCertificats utilis\u00e9s pour les machines et/ou pour l\u2019authentification utilisateur (cot\u00e9 client et serveur),\u003c/li\u003e \u003cli\u003eCertificats de signature de code et les certificats TLS pour l\u2019interface expos\u00e9e ;\u003c/li\u003e \u003c/ul\u003e \u003c/li\u003e \u003cli\u003e\u003cstrong\u003eR\u00e9initialiser le mot de passe d\u0027administration ;\u003cbr/\u003e \u003c/strong\u003e\u003c/li\u003e \u003cli\u003e\u003cstrong\u003eR\u00e9initialiser les cl\u00e9s d\u2019API stock\u00e9es sur l\u2019\u00e9quipement ;\u003cbr/\u003e \u003c/strong\u003e\u003c/li\u003e \u003cli\u003e\u003cstrong\u003eR\u00e9initialiser les mots de passe de tout compte local\u003c/strong\u003e d\u00e9fini sur la passerelle, y compris les comptes de service utilis\u00e9s dans la configuration li\u00e9e aux serveurs d\u2019authentification.\u003c/li\u003e \u003cli\u003e\u003cstrong\u003eR\u00e9initialiser les authentifications des serveurs de licence ;\u003cbr/\u003e \u003c/strong\u003e\u003c/li\u003e \u003cli\u003e\u003cspan class=\"mx_EventTile_body markdown-body\" dir=\"auto\" style=\"color: #000000;\"\u003e\u003cstrong\u003eSi votre micrologiciel n\u2019est pas sur une version corrig\u00e9e, Installer le fichier de contournement \u003c/strong\u003e(fichier .xml) sur l\u2019\u00e9quipement sain. Sinon, l\u2019installation du fichier xml n\u2019est pas n\u00e9cessaire.\u003c/span\u003e\u003c/li\u003e \u003c/ol\u003e \u003cp\u003e\u003cstrong\u003eUne fois le contournement install\u00e9, plus aucune configuration ne doit \u00eatre pouss\u00e9e sur l\u0027\u00e9quipement jusqu\u0027\u00e0 l\u0027application du correctif de s\u00e9curit\u00e9. En effet, l\u0027\u00e9diteur indique que cela entra\u00eene le malfonctionnement de certains services internes ce qui conduit \u00e0 rendre le contournement inefficace.\u003c/strong\u003e\u003c/p\u003e \u003cp\u003eL\u0027utilisation de mesures de contournement n\u0027est pas n\u00e9cessaire apr\u00e8s la mise \u00e0 jour de l\u0027\u00e9quipement vers une \u003cstrong\u003eversion non vuln\u00e9rable\u003c/strong\u003e. L\u0027\u00e9diteur propose un outil de suppression de contournement si ce dernier a \u00e9t\u00e9 appliqu\u00e9 avant la mise \u00e0 jour.\u003c/p\u003e ",
  "cves": [
    {
      "name": "CVE-2023-46805",
      "url": "https://www.cve.org/CVERecord?id=CVE-2023-46805"
    },
    {
      "name": "CVE-2024-21887",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-21887"
    },
    {
      "name": "CVE-2024-21893",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-21893"
    },
    {
      "name": "CVE-2024-21888",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-21888"
    },
    {
      "name": "CVE-2024-22024",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-22024"
    }
  ],
  "links": [
    {
      "title": "[15] Portail de t\u00e9l\u00e9chargement de l\u0027\u00e9diteur",
      "url": "https://forums.ivanti.com/s/product-downloads"
    },
    {
      "title": "[6] Page du CERT-FR relative aux scans",
      "url": "https://www.cert.ssi.gouv.fr/scans/"
    },
    {
      "title": "[13] Liste d\u0027indicateurs de compromission publi\u00e9e par HarfangLab du 22 janvier 2024",
      "url": "https://raw.githubusercontent.com/HarfangLab/iocs/main/iv_lastauthserverused_js/20240122_lastauthserverused_js.txt"
    },
    {
      "title": "[4] Bulletin technique Ivanti du 16 janvier mis \u00e0 jour le 19 janvier 2024",
      "url": "https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US"
    },
    {
      "title": "[14] Alerte de s\u00e9curit\u00e9 de JPCert du 11 janvier 2024",
      "url": "https://www.jpcert.or.jp/at/2024/at240002.html"
    },
    {
      "title": "D\u00e9tails de la vuln\u00e9rabilit\u00e9 CVE-2024-22024",
      "url": "https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US"
    },
    {
      "title": "[9] Bulletin technique Ivanti relatif \u00e0 la restauration des donn\u00e9es",
      "url": "https://forums.ivanti.com/s/article/KB44759"
    },
    {
      "title": "[16] Billet de blog Ivanti sur Enhanced External Integrity Checker Tool",
      "url": "https://www.ivanti.com/blog/enhanced-external-integrity-checking-tool-to-provide-additional-visibility-and-protection-for-customers-against-evolving-threat-actor-techniques-in-relation-to-previously-disclosed-vulnerabilities"
    },
    {
      "title": "[5] Bulletin technique Ivanti relatif \u00e0 Integrity Check Tool",
      "url": "https://forums.ivanti.com/s/article/KB44755"
    },
    {
      "title": "Avis CERT-FR CERTFR-2024-AVI-0085 du 31 janvier 2024",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0085/"
    },
    {
      "title": "[11] Publication Twitter du 22 janvier 2024",
      "url": "https://twitter.com/felixaime/status/1749454051601776979"
    },
    {
      "title": "[7] Bulletin technique Ivanti relatif \u00e0 la r\u00e9initialisation de l\u0027\u00e9quipement",
      "url": "https://forums.ivanti.com/s/article/KB22964"
    },
    {
      "title": "[3] Billet de blogue Mandiant du 12 janvier 2024",
      "url": "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
    },
    {
      "title": "[2] Les bons r\u00e9flexes en cas d\u0027intrusion sur un syst\u00e8me d\u0027information",
      "url": "https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"
    },
    {
      "title": "[1] Billet de blogue Volexity du 10 janvier 2024",
      "url": "https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/"
    },
    {
      "title": "Recommandation suppl\u00e9mentaires pour les configurations en grappe",
      "url": "https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Ivanti du 08 f\u00e9vrier 2024",
      "url": "https://www.ivanti.com/blog/security-update-for-ivanti-connect-secure-and-ivanti-policy-secure-gateways-282024"
    },
    {
      "title": "[10] Bulletin technique Ivanti relatif \u00e0 la restauration des donn\u00e9es",
      "url": "https://forums.ivanti.com/s/article/KB44172"
    },
    {
      "title": "[8] Bulletin technique Ivanti relatif au t\u00e9l\u00e9chargement des firmwares",
      "url": "https://forums.ivanti.com/s/article/Post-Factory-Reset-Legacy-Package-Download"
    },
    {
      "title": "Avis CERT-FR CERTFR-2024-AVI-0109 du 09 f\u00e9vrier 2024",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0109/"
    },
    {
      "title": "[12] Billet de blogue Volexity du 18 janvier 2024",
      "url": "https://www.volexity.com/blog/2024/01/18/ivanti-connect-secure-vpn-exploitation-new-observations/"
    }
  ],
  "reference": "CERTFR-2024-ALE-001",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2024-01-11T00:00:00.000000"
    },
    {
      "description": "Ajout de recommandations",
      "revision_date": "2024-01-17T00:00:00.000000"
    },
    {
      "description": "MaJ ordre de la mise en oeuvre des mesures de contournement",
      "revision_date": "2024-01-19T00:00:00.000000"
    },
    {
      "description": "Mise \u00e0 jour des recommandations CERT-FR",
      "revision_date": "2024-01-23T00:00:00.000000"
    },
    {
      "description": "Information sur les correctifs et les nouvelles vuln\u00e9rabilit\u00e9s",
      "revision_date": "2024-01-31T00:00:00.000000"
    },
    {
      "description": "Fusion de la partie solution et contournement provisoire",
      "revision_date": "2024-02-01T00:00:00.000000"
    },
    {
      "description": "Nouveaux correctifs disponibles et clarification de la proc\u00e9dure",
      "revision_date": "2024-02-02T00:00:00.000000"
    },
    {
      "description": "Ajout de recommandations pour une configuration en grappe",
      "revision_date": "2024-02-05T00:00:00.000000"
    },
    {
      "description": "Ajout de la vuln\u00e9rabilit\u00e9 CVE-2024-22024",
      "revision_date": "2024-02-09T00:00:00.000000"
    },
    {
      "description": "Nouveaux correctifs disponibles",
      "revision_date": "2024-02-15T00:00:00.000000"
    },
    {
      "description": "Ajout d\u0027une proc\u00e9dure de r\u00e9solution pour les Ivanti Connect Secure ou Policy Secure en machine virtuelle",
      "revision_date": "2024-03-04T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2024-04-15T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    },
    {
      "description": "\u00c9l\u00e9vation de privil\u00e8ges"
    },
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    }
  ],
  "summary": "\u003cp\u003e\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e[Mise \u00e0 jour du 4 mars 2024]\u003c/strong\u003e Ivanti a publi\u00e9 le 29 f\u00e9vrier des recommandations de r\u00e9solution pour les Ivanti Connect Secure ou Policy Secure en machine virtuelle [16].\u003cbr /\u003e \u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 15 f\u00e9vrier 2024] \u003c/strong\u003e\u003cspan class=\"mx_EventTile_body markdown-body\" dir=\"auto\"\u003el\u0027\u00e9diteur a publi\u00e9 le 15 f\u00e9vrier des correctifs pour les versions suivantes, qui n\u0027en disposaient pas encore jusque-l\u00e0 :\u003c/span\u003e\u003cstrong\u003e\u003cbr /\u003e \u003c/strong\u003e\u003c/p\u003e \u003cul\u003e \u003cli\u003e\u003cspan class=\"mx_EventTile_body markdown-body\" dir=\"auto\"\u003eIvanti Connect Secure versions 9.1R15.3, 9.1R16.3, 22.1R6.1, 22.2R4.1, 22.3R1.1 et 22.4R1.1\u003c/span\u003e\u003c/li\u003e \u003cli\u003e\u003cspan class=\"mx_EventTile_body markdown-body\" dir=\"auto\"\u003eIvanti Policy Secure versions 9.1R16.3, 22.4R1.1 et 22.6R1.1\u003c/span\u003e\u003c/li\u003e \u003c/ul\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 09 f\u00e9vrier 2024] Ajout de la vuln\u00e9rabilit\u00e9 CVE-2024-22024\u003c/strong\u003e\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e\u003cbr /\u003e \u003c/strong\u003e\u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cspan class=\"mx_EventTile_body\" dir=\"auto\"\u003eLa publication des premi\u00e8res vuln\u00e9rabilit\u00e9s a fait suite \u00e0 la d\u00e9couverte par l\u0027\u00e9diteur de leur exploitation cibl\u00e9e, probablement depuis 2023. L\u0027exploitation de ces vuln\u00e9rabilit\u00e9s aurait permis aux attaquants de se lat\u00e9raliser et de r\u00e9cup\u00e9rer des identifiants sur les \u00e9quipements Ivanti compromis. Ensuite, des codes d\u0027exploitation, puis de nouvelles vuln\u00e9rabilit\u00e9s, ont \u00e9t\u00e9 publi\u00e9s mi-janvier. L\u0027ensemble de ces vuln\u00e9rabilit\u00e9s est exploit\u00e9 massivement.\u003c/span\u003e\u003c/p\u003e \u003cp\u003eLe 08 f\u00e9vrier 2024, Ivanti a publi\u00e9 un bulletin de s\u00e9curit\u00e9 concernant la vuln\u00e9rabilit\u00e9 \u003cspan class=\"mx_EventTile_body\" dir=\"auto\"\u003eCVE-2024-22024, affectant les produits \u003c/span\u003e\u003cspan class=\"test-id__field-value slds-form-element__static slds-grow slds-form-element_separator is-read-only iv-cad-fld\" data-aura-rendered-by=\"34:347;a\"\u003e\u003cspan data-aura-rendered-by=\"35:347;a\"\u003eIvanti Connect Secure, Ivanti Policy Secure et ZTA gateways. Le d\u00e9tail des versions vuln\u00e9rables est disponible dans la section solution. Elle permet \u00e0 un attaquant non authentifi\u00e9 d\u0027acc\u00e9der \u00e0 des ressources restreintes. Les chercheurs ayant d\u00e9couvert cette vuln\u00e9rabilit\u00e9 ont publi\u00e9 une preuve de concept.\u003cbr /\u003e \u003c/span\u003e\u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 04 f\u00e9vrier 2024] Ajout de recommandations pour une configuration en grappe\u003c/strong\u003e\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 02 f\u00e9vrier 2024] Correctifs disponibles pour les versions\u00a0Ivanti Connect Secure 22.5R2.2 et Ivanti Policy Secure 22.5R1.1. Clarification de la proc\u00e9dure.\u003cbr /\u003e \u003c/strong\u003e\u003c/p\u003e \u003cp\u003e\u003cspan style=\"color: #000000;\"\u003e\u003cstrong\u003e[Mise \u00e0 jour du 01 f\u00e9vrier 2024]\u003c/strong\u003e Fusion de la partie solution et contournement provisoire\u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Version du 31 janvier 2024]\u003c/strong\u003e Ajout d\u2019informations sur les correctifs et des nouvelles vuln\u00e9rabilit\u00e9s\u003c/p\u003e \u003cp\u003eL\u0027\u00e9diteur a publi\u00e9 des informations concernant deux nouvelles vuln\u00e9rabilit\u00e9s. La vuln\u00e9rabilit\u00e9 CVE-2024-21888 permet une \u00e9l\u00e9vation de privil\u00e8ge sur le composant web. La vuln\u00e9rabilit\u00e9 CVE-2024-21893 permet \u00e0 un attaquant non authentifi\u00e9 de forger des requ\u00eates c\u00f4t\u00e9 serveur (SSRF) au travers du composant SAML. Cette derni\u00e8re est activement exploit\u00e9e.\u003c/p\u003e \u003cp\u003eDes correctifs sont disponibles, veuillez vous r\u00e9f\u00e9rer \u00e0 la section Solution. Le CERT-FR a connaissance de tentatives de contournement de l\u0027outil ICT m\u00eame si la version externe est utilis\u00e9e.\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Version du 23 janvier 2024]\u003c/strong\u003e\u003c/p\u003e \u003cp\u003eDes acteurs malveillants exploitent massivement les vuln\u00e9rabilit\u00e9s dans le but d\u2019extorquer les comptes et les mots de passe ayant pu transiter sur les \u00e9quipements vuln\u00e9rables.\u003c/p\u003e \u003cp\u003eLa vuln\u00e9rabilit\u00e9 CVE-2023-46805 permet \u00e0 un attaquant de contourner l\u0027authentification, tandis que la vuln\u00e9rabilit\u00e9 CVE-2024-21887 permet \u00e0 un administrateur distant et authentifi\u00e9 d\u0027ex\u00e9cuter des commandes arbitraires. Un attaquant qui exploite ces deux vuln\u00e9rabilit\u00e9s peut par cons\u00e9quent prendre le contr\u00f4le complet de l\u2019\u00e9quipement.\u003c/p\u003e \u003cp\u003eIvanti indique que ces vuln\u00e9rabilit\u00e9s sont activement exploit\u00e9es dans le cadre d\u0027attaques cibl\u00e9es. Le CERT-FR a connaissance de nombreux \u00e9quipements compromis. Diff\u00e9rentes sources ont mentionn\u00e9 l\u0027exploitation de ces vuln\u00e9rabilit\u00e9s afin de mettre en place des m\u00e9thodes de persistance sur l\u0027\u00e9quipement [1][3].\u003c/p\u003e \u003cp\u003eDes codes d\u0027exploitations publics sont disponibles sur Internet afin d\u0027exploiter les deux vuln\u00e9rabilit\u00e9s \u00e0 la suite.\u003c/p\u003e \u003ch2\u003eD\u00e9tection\u003c/h2\u003e \u003cp\u003e\u003cstrong\u003e[Version du 23 janvier 2024]\u003c/strong\u003e\u003c/p\u003e \u003cp align=\"justify\"\u003ePour savoir si vous \u00eates concern\u00e9s par ces attaques, le CERT-FR vous propose les actions suivantes\u00a0:\u003c/p\u003e \u003col\u003e \u003cli\u003e \u003cp align=\"justify\"\u003eEx\u00e9cuter le script \u003ci\u003eIntegrity Check Tool \u003c/i\u003epubli\u00e9 par IVANTI [5] sur tous les \u00e9quipements composant la grappe (\u003ci\u003ecluster)\u003c/i\u003e. En cas de r\u00e9sultats non nuls aux \u00e9tapes 8 et 9, l\u2019\u00e9quipement est compromis ;\u003c/p\u003e \u003c/li\u003e \u003cli\u003e \u003cp align=\"justify\"\u003eL\u0027attaquant peut tenter de contourner les contr\u00f4les effectu\u00e9s par l\u0027\u003cem\u003eICT\u003c/em\u003e, il est donc \u00e9galement n\u00e9cessaire de rechercher dans les journaux toute trace des marqueurs publi\u00e9s par les sources publiques [1] [3] [11] [12] [13] [14]\u003cem\u003e. Note : Ces indicateurs n\u0027ont pas \u00e9t\u00e9 qualifi\u00e9s par le CERT-FR.\u003cbr /\u003e \u003c/em\u003e\u003c/p\u003e \u003c/li\u003e \u003c/ol\u003e \u003cp align=\"justify\"\u003eEn cas de d\u00e9tection positive\u00a0:\u003c/p\u003e \u003col\u003e \u003cli\u003e \u003cp align=\"justify\"\u003eR\u00e9aliser un gel de donn\u00e9es (instantan\u00e9s pour les \u003ci\u003eAppliances\u003c/i\u003e virtuelles, isolement de l\u2019\u00e9quipement s\u2019il s\u2019agit d\u2019un \u00e9quipement physique). Une fois le gel des donn\u00e9es effectu\u00e9 ou en cas d\u2019impossibilit\u00e9 de maintenir un isolement des \u00e9quipements physiques, proc\u00e9der aux mesures de contournements et recommandations mentionn\u00e9es dans la section suivante.\u003c/p\u003e \u003c/li\u003e \u003cli\u003e \u003cp align=\"justify\"\u003eSignaler l\u2019\u00e9v\u00e9nement aupr\u00e8s du CERT-FR en mettant en copie vos \u00e9ventuels CSIRT m\u00e9tiers. Le CERT-FR vous recontactera si n\u00e9cessaire pour le traitement de l\u2019incident ou vous communiquera des \u00e9l\u00e9ments suppl\u00e9mentaires.\u003c/p\u003e \u003c/li\u003e \u003c/ol\u003e \u003cp align=\"justify\"\u003ePar ailleurs, le CERT-FR r\u00e9alise r\u00e9guli\u00e8rement des scans \u00e0 partir des IP mentionn\u00e9es dans la page associ\u00e9e [6] et contacte les entit\u00e9s identifi\u00e9es comme vuln\u00e9rables ou compromises.\u003c/p\u003e ",
  "title": "[M\u00e0J] Multiples vuln\u00e9rabilit\u00e9s dans Ivanti Connect Secure et Policy Secure Gateways",
  "vendor_advisories": [
    {
      "published_at": "2024-01-10",
      "title": "[0] Bulletin de s\u00e9curit\u00e9 Ivanti 000090123",
      "url": "https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways"
    }
  ]
}

CERTFR-2024-ALE-001

Vulnerability from certfr_alerte - Published: - Updated:

[Mise à jour du 4 mars 2024] Ivanti a publié le 29 février des recommandations de résolution pour les Ivanti Connect Secure ou Policy Secure en machine virtuelle [16].

[Mise à jour du 15 février 2024] l'éditeur a publié le 15 février des correctifs pour les versions suivantes, qui n'en disposaient pas encore jusque-là :

Ivanti Connect Secure versions 9.1R15.3, 9.1R16.3, 22.1R6.1, 22.2R4.1, 22.3R1.1 et 22.4R1.1
Ivanti Policy Secure versions 9.1R16.3, 22.4R1.1 et 22.6R1.1

[Mise à jour du 09 février 2024] Ajout de la vulnérabilité CVE-2024-22024

[Mise à jour du 04 février 2024] Ajout de recommandations pour une configuration en grappe

[Mise à jour du 02 février 2024] Correctifs disponibles pour les versions Ivanti Connect Secure 22.5R2.2 et Ivanti Policy Secure 22.5R1.1. Clarification de la procédure.

[Mise à jour du 01 février 2024] Fusion de la partie solution et contournement provisoire

[Version du 31 janvier 2024] Ajout d’informations sur les correctifs et des nouvelles vulnérabilités

Des correctifs sont disponibles, veuillez vous référer à la section Solution. Le CERT-FR a connaissance de tentatives de contournement de l'outil ICT même si la version externe est utilisée.

[Version du 23 janvier 2024]

Des acteurs malveillants exploitent massivement les vulnérabilités dans le but d’extorquer les comptes et les mots de passe ayant pu transiter sur les équipements vulnérables.

Des codes d'exploitations publics sont disponibles sur Internet afin d'exploiter les deux vulnérabilités à la suite.

Détection

[Version du 23 janvier 2024]

Pour savoir si vous êtes concernés par ces attaques, le CERT-FR vous propose les actions suivantes :

Exécuter le script Integrity Check Tool publié par IVANTI [5] sur tous les équipements composant la grappe (cluster). En cas de résultats non nuls aux étapes 8 et 9, l’équipement est compromis ;
L'attaquant peut tenter de contourner les contrôles effectués par l'ICT, il est donc également nécessaire de rechercher dans les journaux toute trace des marqueurs publiés par les sources publiques [1] [3] [11] [12] [13] [14]. Note : Ces indicateurs n'ont pas été qualifiés par le CERT-FR.

En cas de détection positive :

Réaliser un gel de données (instantanés pour les Appliances virtuelles, isolement de l’équipement s’il s’agit d’un équipement physique). Une fois le gel des données effectué ou en cas d’impossibilité de maintenir un isolement des équipements physiques, procéder aux mesures de contournements et recommandations mentionnées dans la section suivante.
Signaler l’événement auprès du CERT-FR en mettant en copie vos éventuels CSIRT métiers. Le CERT-FR vous recontactera si nécessaire pour le traitement de l’incident ou vous communiquera des éléments supplémentaires.

Par ailleurs, le CERT-FR réalise régulièrement des scans à partir des IP mentionnées dans la page associée [6] et contacte les entités identifiées comme vulnérables ou compromises.

Contournement provisoire

[Mise à jour du 01 février 2024] Fusion de la partie solution et contournement provisoire

Suite à la mise à jour de la documentation de l'éditeur ainsi que de la mise à disposition de nouveaux correctifs, la procédure à suivre a été déplacée dans la section Solution.

[Mise à jour du 31 janvier 2024] Ajout d'informations sur la nouvelle mesure de contournement

Des correctifs sont présentés dans la section Solution, la mesure de contournement ne doit être appliquée que si les correctifs ne sont pas disponibles pour les produits concernés.

[Version du 23 Janvier 2024]

Recommandations supplémentaires du cert-fr

Réinitialiser tous les secrets (de façon générale) configurés sur les équipements affectés ;
Réinitialiser tous les secrets d’authentification susceptibles d’avoir transités sur les équipements affectés ;
Rechercher toutes traces de latéralisation sur le reste du système d’information.

Solution

Procédure de résolution pour les Ivanti Connect Secure ou Policy Secure en machine virtuelle :

Effectuer une sauvegarde de la configuration
Deployer une nouvelle machine à partir d'une image (template) du site de l'éditeur
Restaurer la configuration à partir de la sauvegarde
Effectuer une rotation des secrets

[Mise à jour du 15 février 2024] Publication de nouveaux correctifs sécurité. Ivanti a publié un correctif pour la vulnérabilité CVE-2024-22024 pour les produits suivants :

Ivanti Connect Secure versions 9.1R14.5, 9.1R15.3, 9.1R16.3, 9.1R17.3, 9.1R18.4, 22.1R6.1, 22.2R4.1, 22.3R1.1, 22.4R1.1, 22.4R2.3, 22.5R1.2, 22.5R2.3 et 22.6R2.2
Ivanti Policy Secure versions 9.1R16.3, 9.1R17.3, 9.1R18.4, 22.4R1.1, 22.5R1.2 et 22.6R1.1
ZTA gateways versions 22.5R1.6, 22.6R1.5 et 22.6R1.7

[Mise à jour du 09 février 2024] Ajout de la vulnérabilité CVE-2024-22024

Si un patch a été appliqué avec les versions du 31/01 au 01/02, le CERT-FR recommande d'effectuer les actions suivantes avant l'application du correctif :

Effectuer une sauvegarde
Effectuer un scan de l'ICS externe
- En cas de scan positif à l'ICS externe avant la mise à jour, la remise en état d'usine est nécessaire.

[Mise à jour du 04 février 2024] Ajout de recommandations pour une configuration en grappe

Recommandation additionnelle pour les configurations en grappe (clusters) :

Se référer à la documentation de l’éditeur à la section « Additionnal Detail for Recovering Clusters »

https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US

[Mise à jour du 01 février 2024] Fusion de la partie solution et contournement provisoire

L'éditeur a publié des correctifs pour Ivanti Connect Secure dans les versions 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 et 22.5R1.1 et pour ZTA dans la version 22.6R1.3 [0][15].

Sauvegarder la configuration de l’équipement ;
Effectuer une remise à la configuration de sortie d'usine (Factory Reset) ET procéder à une montée de version du micrologiciel (firmware) si le correctif est disponible :
- la procédure est documentée dans le bulletin de l'éditeur [7],
- Une montée de version va supprimer/écraser les fichiers ajoutés/modifiés par l’attaquant,
- Les versions des firmwares peuvent être téléchargées sur la page de l'éditeur [8],
- NOTE : Un retour arrière (rollback) sur la version compromise va rendre le boîtier vulnérable. Deux montées de version suppriment la version compromise puisqu’une seule version de rollback est conservée sur l’équipement ;
S'il n'est pas possible d'installer une version disposant du correctif, une fois la remise à la configuration de sortie d'usine terminée, effectuer une mise à jour vers la version installée précédemment ;
Restaurer la configuration de l’équipement à partir de la sauvegarde : [9] [10] ;
- Si vous avez appliqué la mesure de contournement XML et que vous avez appliqué la version corrigée du micrologiciel, retirer le XML (How to Add and Remove XML files to your Ivanti Connect Secure and Ivanti Policy Secure Appliances : https://forums.ivanti.com/s/article/Download-Links-Related-to-CVE-2023-46805-and-CVE-2024-21887)
Révoquer et réémettre tous les certificats présents sur les équipements affectés :
- Certificats utilisés pour les machines et/ou pour l’authentification utilisateur (coté client et serveur),
- Certificats de signature de code et les certificats TLS pour l’interface exposée ;
Réinitialiser le mot de passe d'administration ;
Réinitialiser les clés d’API stockées sur l’équipement ;
Réinitialiser les mots de passe de tout compte local défini sur la passerelle, y compris les comptes de service utilisés dans la configuration liée aux serveurs d’authentification.
Réinitialiser les authentifications des serveurs de licence ;
Si votre micrologiciel n’est pas sur une version corrigée, Installer le fichier de contournement (fichier .xml) sur l’équipement sain. Sinon, l’installation du fichier xml n’est pas nécessaire.

Impacted products

Vendor	Product	Description
Ivanti	N/A	Ivanti Connect Secure (ICS, anciennement Pulse Connect Secure) toutes versions
Ivanti	N/A	Ivanti Neurons pour passerelles ZTA, toutes versions, en cours d'installation et non connecté à un contrôleur ZTA
Ivanti	N/A	Ivanti Policy Secure gateways (IPS) toutes versions

References

Title

Publication Time

Tags

[0] Bulletin de sécurité Ivanti 000090123	2024-01-10	vendor-advisory
[15] Portail de téléchargement de l'éditeur	-	other
[6] Page du CERT-FR relative aux scans	-	other
[13] Liste d'indicateurs de compromission publiée par HarfangLab du 22 janvier 2024	-	other
[4] Bulletin technique Ivanti du 16 janvier mis à jour le 19 janvier 2024	-	other
[14] Alerte de sécurité de JPCert du 11 janvier 2024	-	other
Détails de la vulnérabilité CVE-2024-22024	-	other
[9] Bulletin technique Ivanti relatif à la restauration des données	-	other
[16] Billet de blog Ivanti sur Enhanced External Integrity Checker Tool	-	other
[5] Bulletin technique Ivanti relatif à Integrity Check Tool	-	other
Avis CERT-FR CERTFR-2024-AVI-0085 du 31 janvier 2024	-	other
[11] Publication Twitter du 22 janvier 2024	-	other
[7] Bulletin technique Ivanti relatif à la réinitialisation de l'équipement	-	other
[3] Billet de blogue Mandiant du 12 janvier 2024	-	other
[2] Les bons réflexes en cas d'intrusion sur un système d'information	-	other
[1] Billet de blogue Volexity du 10 janvier 2024	-	other
Recommandation supplémentaires pour les configurations en grappe	-	other
Bulletin de sécurité Ivanti du 08 février 2024	-	other
[10] Bulletin technique Ivanti relatif à la restauration des données	-	other
[8] Bulletin technique Ivanti relatif au téléchargement des firmwares	-	other
Avis CERT-FR CERTFR-2024-AVI-0109 du 09 février 2024	-	other
[12] Billet de blogue Volexity du 18 janvier 2024	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Ivanti Connect Secure (ICS, anciennement Pulse Connect Secure) toutes versions",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    },
    {
      "description": "Ivanti Neurons pour passerelles ZTA, toutes versions, en cours d\u0027installation et non connect\u00e9 \u00e0 un contr\u00f4leur ZTA",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    },
    {
      "description": "Ivanti Policy Secure gateways (IPS) toutes versions",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "",
  "closed_at": "2024-04-15",
  "content": "\u003ch2\u003eContournement provisoire\u003c/h2\u003e\n\u003cp\u003e\u003cspan style=\"color: #000000;\"\u003e\u003cstrong\u003e[Mise \u00e0 jour du 01 f\u00e9vrier 2024]\u003c/strong\u003e Fusion de la partie solution et contournement provisoire\u003c/span\u003e\u003c/p\u003e \u003cp\u003eSuite \u00e0 la mise \u00e0 jour de la documentation de l\u0027\u00e9diteur ainsi que de la mise \u00e0 disposition de nouveaux correctifs, la proc\u00e9dure \u00e0 suivre a \u00e9t\u00e9 d\u00e9plac\u00e9e dans la section Solution.\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 31 janvier 2024] \u003c/strong\u003eAjout d\u0027informations sur la nouvelle mesure de contournement\u003c/p\u003e \u003cp\u003eL\u0027\u00e9diteur a publi\u00e9 une nouvelle mesure de contournement \u003cspan class=\"test-id__field-value slds-form-element__static slds-grow slds-form-element_separator is-read-only iv-cad-fld\" data-aura-rendered-by=\"27:298;a\"\u003e \u003cem\u003emitigation.release.20240126.5.xml\u003c/em\u003e [15]. Celle-ci permet de se pr\u00e9munir des vuln\u00e9rabilit\u00e9s CVE-2024-21888 et CVE-2024-21893 ainsi que des vuln\u00e9rabilit\u00e9s CVE-2023-46805 et CVE-2024-21887.\u003c/span\u003e\u003c/p\u003e \u003cp\u003eDes correctifs sont pr\u00e9sent\u00e9s dans la section Solution, la mesure de contournement ne doit \u00eatre appliqu\u00e9e que si les correctifs ne sont pas disponibles pour les produits concern\u00e9s.\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Version du 23 Janvier 2024]\u003c/strong\u003e\u003c/p\u003e \u003cp\u003eL\u2019\u00e9diteur indique avoir connaissance d\u0027exploitations publiques sur internet et une exploitation en masse des deux vuln\u00e9rabilit\u00e9s \u00e0 la suite. Tout \u00e9quipement dont le contournement provisoire initial (import du fichier \u003cem\u003exml\u003c/em\u003e) n\u0027aurait pas d\u00e9j\u00e0 \u00e9t\u00e9 appliqu\u00e9 doit \u00eatre consid\u00e9r\u00e9 comme compromis.\u003cbr/\u003e Si les r\u00e9sultats de l\u2019\u003cstrong\u003eICT indiquent une compromission\u003c/strong\u003e (r\u00e9sultats non nuls aux \u00e9tapes 8 et 9) ou si le contournement provisoire initial (import du fichier \u003cem\u003exml\u003c/em\u003e) n\u2019a pas \u00e9t\u00e9 r\u00e9alis\u00e9, le CERT-FR recommande fortement de suivre la proc\u00e9dure document\u00e9e par l\u0027\u00e9diteur [4] pour la remise en production d\u0027un \u00e9quipement compromis.\u003c/p\u003e \u003cp\u003e\u00a0\u003c/p\u003e \u003ch2\u003eRecommandations suppl\u00e9mentaires du cert-fr\u003c/h2\u003e \u003cp\u003eDu fait de la compromission des \u00e9quipements et de la possibilit\u00e9 que l\u0027attaquant ait inject\u00e9 du code malveillant afin de r\u00e9cup\u00e9rer des noms d\u0027utilisateur et des mots de passe, le CERT-FR recommande de\u00a0:\u003c/p\u003e \u003col\u003e \u003cli\u003e\u003cstrong\u003eR\u00e9initialiser tous les secrets\u003c/strong\u003e (de fa\u00e7on g\u00e9n\u00e9rale) \u003cu\u003econfigur\u00e9s sur les \u00e9quipements affect\u00e9s ;\u003cbr/\u003e \u003c/u\u003e\u003c/li\u003e \u003cli\u003e\u003cstrong\u003eR\u00e9initialiser tous les secrets d\u2019authentification\u003c/strong\u003e \u003cu\u003esusceptibles d\u2019avoir transit\u00e9s sur les \u00e9quipements affect\u00e9s ;\u003cbr/\u003e \u003c/u\u003e\u003c/li\u003e \u003cli\u003e\u003cstrong\u003eRechercher toutes traces de lat\u00e9ralisation\u003c/strong\u003e sur le reste du syst\u00e8me d\u2019information.\u003c/li\u003e \u003c/ol\u003e \n\n\u003ch2\u003eSolution\u003c/h2\u003e\n\u003cp\u003e\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e[Mise \u00e0 jour du 4 mars 2024]\u003c/strong\u003e Ivanti recommande aux clients utilisant Ivanti Connect Secure ou Policy Secure en machine virtuelle de ne plus effectuer de remise en \u00e9tat d\u0027usine mais plut\u00f4t repartir d\u0027une image (\u003cem\u003etemplate\u003c/em\u003e).\u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cspan style=\"color: #ff0000;\"\u003eProc\u00e9dure de r\u00e9solution pour les Ivanti Connect Secure ou Policy Secure en machine virtuelle :\u003c/span\u003e\u003c/p\u003e \u003col style=\"color: #ff0000;\"\u003e \u003cli\u003e\u003cspan style=\"color: #ff0000;\"\u003eEffectuer une sauvegarde de la configuration\u003c/span\u003e\u003c/li\u003e \u003cli\u003e\u003cspan style=\"color: #ff0000;\"\u003eDeployer une nouvelle machine \u00e0 partir d\u0027une image (\u003cem\u003etemplate\u003c/em\u003e) du site de l\u0027\u00e9diteur\u003c/span\u003e\u003c/li\u003e \u003cli\u003e\u003cspan style=\"color: #ff0000;\"\u003eRestaurer la configuration \u00e0 partir de la sauvegarde\u003c/span\u003e\u003c/li\u003e \u003cli\u003e\u003cspan style=\"color: #ff0000;\"\u003eEffectuer une rotation des secrets\u003c/span\u003e\u003c/li\u003e \u003c/ol\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 15 f\u00e9vrier 2024] \u003c/strong\u003eP\u003cspan class=\"mx_EventTile_body markdown-body\" dir=\"auto\"\u003eublication de nouveaux correctifs s\u00e9curit\u00e9. Ivanti a publi\u00e9 un correctif pour la vuln\u00e9rabilit\u00e9 CVE-2024-22024 pour les produits suivants :\u003c/span\u003e\u003c/p\u003e \u003cul\u003e \u003cli\u003eIvanti Connect Secure versions 9.1R14.5, 9.1R15.3, 9.1R16.3, 9.1R17.3, 9.1R18.4, 22.1R6.1, 22.2R4.1, 22.3R1.1, 22.4R1.1, 22.4R2.3, 22.5R1.2, 22.5R2.3 et 22.6R2.2\u003c/li\u003e \u003cli\u003eIvanti Policy Secure versions 9.1R16.3, 9.1R17.3, 9.1R18.4, 22.4R1.1, 22.5R1.2 et 22.6R1.1\u003c/li\u003e \u003cli\u003eZTA gateways versions 22.5R1.6, 22.6R1.5 et 22.6R1.7\u003c/li\u003e \u003c/ul\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 09 f\u00e9vrier 2024] Ajout de la vuln\u00e9rabilit\u00e9 CVE-2024-22024\u003c/strong\u003e\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e\u003cbr/\u003e \u003c/strong\u003e\u003c/span\u003e\u003c/p\u003e \u003cp\u003eSi un patch a \u00e9t\u00e9 appliqu\u00e9 avec les versions du 31/01 au 01/02, le CERT-FR recommande d\u0027effectuer les actions suivantes avant l\u0027application du correctif\u00a0:\u003c/p\u003e \u003cul\u003e \u003cli\u003eEffectuer une sauvegarde\u003c/li\u003e \u003cli\u003eEffectuer un scan de l\u0027ICS externe \u003cul\u003e \u003cli\u003eEn cas de scan positif \u00e0 l\u0027ICS externe avant la mise \u00e0 jour, la remise en \u00e9tat d\u0027usine est n\u00e9cessaire.\u003c/li\u003e \u003c/ul\u003e \u003c/li\u003e \u003c/ul\u003e \u003cp\u003eEnsuite,\u003cstrong\u003e une fois le correctif appliqu\u00e9\u003c/strong\u003e, si \u003cspan class=\"mx_EventTile_body markdown-body\" dir=\"auto\"\u003eune remise \u00e0 la configuration d\u0027usine (\u003cem\u003e\u003cstrong\u003eFactory Reset\u003c/strong\u003e\u003c/em\u003e) a d\u00e9j\u00e0 \u00e9t\u00e9 effectu\u00e9e lors de l\u0027application du correctif du 31 janvier ou 01 f\u00e9vrier, l\u0027\u00e9diteur indique qu\u0027une nouvelle remise \u00e0 la configuration d\u0027usine n\u0027est pas n\u00e9cessaire.\u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cspan class=\"mx_EventTile_body markdown-body\" dir=\"auto\"\u003eEnfin, pour les \u00e9quipements vuln\u00e9rables ne b\u00e9n\u00e9ficiant pas encore de correctif, l\u0027\u00e9diteur recommande d\u0027appliquer la mesure de contournement publi\u00e9e le 31 janvier (fichier mitigation.release.20240126.5.xml).\u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 04 f\u00e9vrier 2024] Ajout de recommandations pour une configuration en grappe\u003c/strong\u003e\u003c/p\u003e \u003cp\u003e\u003cspan class=\"mx_EventTile_body\" dir=\"auto\"\u003e\u003cstrong\u003eRecommandation additionnelle pour les configurations en grappe (clusters) :\u003c/strong\u003e \u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cspan class=\"mx_EventTile_body\" dir=\"auto\"\u003eSe r\u00e9f\u00e9rer \u00e0 la documentation de l\u2019\u00e9diteur \u00e0 la section \u00ab Additionnal Detail for Recovering Clusters \u00bb \u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cspan class=\"mx_EventTile_body\" dir=\"auto\"\u003e\u003ca class=\"linkified\" href=\"https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US\" rel=\"noreferrer noopener\" target=\"_blank\"\u003ehttps://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US\u003c/a\u003e \u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 02 f\u00e9vrier 2024] \u003c/strong\u003eL\u0027\u00e9diteur continue de publier des versions correctives. Des correctifs sont d\u00e9sormais disponibles pour les versions\u00a0Ivanti Connect Secure 22.5R2.2 et Ivanti Policy Secure 22.5R1.1\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 01 f\u00e9vrier 2024]\u003c/strong\u003e Fusion de la partie solution et contournement provisoire\u003c/p\u003e \u003cp\u003eL\u0027\u00e9diteur a publi\u00e9 des correctifs pour Ivanti Connect Secure dans les versions 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 et 22.5R1.1 et pour ZTA dans la version 22.6R1.3 [0][15].\u003c/p\u003e \u003cp\u003eLa proc\u00e9dure suivante, propos\u00e9e par l\u0027\u00e9diteur, peut \u00eatre suivie quelle que soit la disponibilit\u00e9 du correctif pour l\u0027\u00e9quipement. En cas d\u0027indisponibilit\u00e9 d\u0027un correctif, le fichier de contournement doit \u00eatre install\u00e9.\u003c/p\u003e \u003col\u003e \u003cli\u003e\u003cstrong\u003eSauvegarder la configuration de l\u2019\u003cspan class=\"mx_EventTile_body\" dir=\"auto\"\u003e\u00e9quipement\u003c/span\u003e ;\u003cbr/\u003e \u003c/strong\u003e\u003c/li\u003e \u003cli\u003e\u003cspan style=\"color: #000000;\"\u003eEffectuer une remise \u00e0 la configuration de sortie d\u0027usine (\u003cem\u003e\u003cstrong\u003eFactory Reset\u003c/strong\u003e\u003c/em\u003e) \u003cstrong\u003eET\u003c/strong\u003e proc\u00e9der \u00e0 une mont\u00e9e de version du micrologiciel\u003cem\u003e (firmware\u003c/em\u003e) si le correctif est disponible :\u003c/span\u003e\u003cem\u003e\u003cbr/\u003e \u003c/em\u003e \u003cul\u003e \u003cli\u003ela proc\u00e9dure est document\u00e9e dans le bulletin de l\u0027\u00e9diteur [7],\u003c/li\u003e \u003cli\u003eUne mont\u00e9e de version va supprimer/\u00e9craser les fichiers ajout\u00e9s/modifi\u00e9s par l\u2019attaquant,\u003c/li\u003e \u003cli\u003eLes versions des firmwares peuvent \u00eatre t\u00e9l\u00e9charg\u00e9es sur la page de l\u0027\u00e9diteur [8],\u003c/li\u003e \u003cli\u003eNOTE\u00a0: Un retour arri\u00e8re (\u003cem\u003erollback\u003c/em\u003e) sur la version compromise va rendre le bo\u00eetier vuln\u00e9rable. Deux mont\u00e9es de version suppriment la version compromise puisqu\u2019une seule version de \u003cem\u003erollback\u003c/em\u003e est conserv\u00e9e sur l\u2019\u00e9quipement ;\u003c/li\u003e \u003c/ul\u003e \u003c/li\u003e \u003cli\u003eS\u0027il n\u0027est pas possible d\u0027installer une version disposant du correctif, une fois la remise\u00a0\u00e0 la configuration de sortie d\u0027usine termin\u00e9e, \u003cstrong\u003eeffectuer une mise \u00e0 jour vers la version install\u00e9e \u003cem\u003epr\u00e9c\u00e9demment \u003c/em\u003e\u003c/strong\u003e;\u003c/li\u003e \u003cli\u003eRestaurer la configuration de l\u2019\u00e9quipement \u00e0 partir de la sauvegarde : [9] [10] ; \u003cul\u003e \u003cli\u003eSi vous avez appliqu\u00e9 la mesure de contournement XML et que vous avez appliqu\u00e9 la version corrig\u00e9e du micrologiciel, retirer le XML (How to Add and Remove XML files to your Ivanti Connect Secure and Ivanti Policy Secure Appliances : \u003ca class=\"linkified\" href=\"https://forums.ivanti.com/s/article/Download-Links-Related-to-CVE-2023-46805-anownload-Links-Related-to-CVE-2023-46805-and-CVE-2024-21887\" rel=\"noreferrer noopener\" target=\"_blank\"\u003ehttps://forums.ivanti.com/s/article/Download-Links-Related-to-CVE-2023-46805-and-CVE-2024-21887\u003c/a\u003e)\u003c/li\u003e \u003c/ul\u003e \u003c/li\u003e \u003cli\u003e\u003cstrong\u003eR\u00e9voquer et r\u00e9\u00e9mettre\u003c/strong\u003e tous les certificats pr\u00e9sents sur les \u00e9quipements affect\u00e9s : \u003cul\u003e \u003cli\u003eCertificats utilis\u00e9s pour les machines et/ou pour l\u2019authentification utilisateur (cot\u00e9 client et serveur),\u003c/li\u003e \u003cli\u003eCertificats de signature de code et les certificats TLS pour l\u2019interface expos\u00e9e ;\u003c/li\u003e \u003c/ul\u003e \u003c/li\u003e \u003cli\u003e\u003cstrong\u003eR\u00e9initialiser le mot de passe d\u0027administration ;\u003cbr/\u003e \u003c/strong\u003e\u003c/li\u003e \u003cli\u003e\u003cstrong\u003eR\u00e9initialiser les cl\u00e9s d\u2019API stock\u00e9es sur l\u2019\u00e9quipement ;\u003cbr/\u003e \u003c/strong\u003e\u003c/li\u003e \u003cli\u003e\u003cstrong\u003eR\u00e9initialiser les mots de passe de tout compte local\u003c/strong\u003e d\u00e9fini sur la passerelle, y compris les comptes de service utilis\u00e9s dans la configuration li\u00e9e aux serveurs d\u2019authentification.\u003c/li\u003e \u003cli\u003e\u003cstrong\u003eR\u00e9initialiser les authentifications des serveurs de licence ;\u003cbr/\u003e \u003c/strong\u003e\u003c/li\u003e \u003cli\u003e\u003cspan class=\"mx_EventTile_body markdown-body\" dir=\"auto\" style=\"color: #000000;\"\u003e\u003cstrong\u003eSi votre micrologiciel n\u2019est pas sur une version corrig\u00e9e, Installer le fichier de contournement \u003c/strong\u003e(fichier .xml) sur l\u2019\u00e9quipement sain. Sinon, l\u2019installation du fichier xml n\u2019est pas n\u00e9cessaire.\u003c/span\u003e\u003c/li\u003e \u003c/ol\u003e \u003cp\u003e\u003cstrong\u003eUne fois le contournement install\u00e9, plus aucune configuration ne doit \u00eatre pouss\u00e9e sur l\u0027\u00e9quipement jusqu\u0027\u00e0 l\u0027application du correctif de s\u00e9curit\u00e9. En effet, l\u0027\u00e9diteur indique que cela entra\u00eene le malfonctionnement de certains services internes ce qui conduit \u00e0 rendre le contournement inefficace.\u003c/strong\u003e\u003c/p\u003e \u003cp\u003eL\u0027utilisation de mesures de contournement n\u0027est pas n\u00e9cessaire apr\u00e8s la mise \u00e0 jour de l\u0027\u00e9quipement vers une \u003cstrong\u003eversion non vuln\u00e9rable\u003c/strong\u003e. L\u0027\u00e9diteur propose un outil de suppression de contournement si ce dernier a \u00e9t\u00e9 appliqu\u00e9 avant la mise \u00e0 jour.\u003c/p\u003e ",
  "cves": [
    {
      "name": "CVE-2023-46805",
      "url": "https://www.cve.org/CVERecord?id=CVE-2023-46805"
    },
    {
      "name": "CVE-2024-21887",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-21887"
    },
    {
      "name": "CVE-2024-21893",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-21893"
    },
    {
      "name": "CVE-2024-21888",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-21888"
    },
    {
      "name": "CVE-2024-22024",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-22024"
    }
  ],
  "links": [
    {
      "title": "[15] Portail de t\u00e9l\u00e9chargement de l\u0027\u00e9diteur",
      "url": "https://forums.ivanti.com/s/product-downloads"
    },
    {
      "title": "[6] Page du CERT-FR relative aux scans",
      "url": "https://www.cert.ssi.gouv.fr/scans/"
    },
    {
      "title": "[13] Liste d\u0027indicateurs de compromission publi\u00e9e par HarfangLab du 22 janvier 2024",
      "url": "https://raw.githubusercontent.com/HarfangLab/iocs/main/iv_lastauthserverused_js/20240122_lastauthserverused_js.txt"
    },
    {
      "title": "[4] Bulletin technique Ivanti du 16 janvier mis \u00e0 jour le 19 janvier 2024",
      "url": "https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US"
    },
    {
      "title": "[14] Alerte de s\u00e9curit\u00e9 de JPCert du 11 janvier 2024",
      "url": "https://www.jpcert.or.jp/at/2024/at240002.html"
    },
    {
      "title": "D\u00e9tails de la vuln\u00e9rabilit\u00e9 CVE-2024-22024",
      "url": "https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US"
    },
    {
      "title": "[9] Bulletin technique Ivanti relatif \u00e0 la restauration des donn\u00e9es",
      "url": "https://forums.ivanti.com/s/article/KB44759"
    },
    {
      "title": "[16] Billet de blog Ivanti sur Enhanced External Integrity Checker Tool",
      "url": "https://www.ivanti.com/blog/enhanced-external-integrity-checking-tool-to-provide-additional-visibility-and-protection-for-customers-against-evolving-threat-actor-techniques-in-relation-to-previously-disclosed-vulnerabilities"
    },
    {
      "title": "[5] Bulletin technique Ivanti relatif \u00e0 Integrity Check Tool",
      "url": "https://forums.ivanti.com/s/article/KB44755"
    },
    {
      "title": "Avis CERT-FR CERTFR-2024-AVI-0085 du 31 janvier 2024",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0085/"
    },
    {
      "title": "[11] Publication Twitter du 22 janvier 2024",
      "url": "https://twitter.com/felixaime/status/1749454051601776979"
    },
    {
      "title": "[7] Bulletin technique Ivanti relatif \u00e0 la r\u00e9initialisation de l\u0027\u00e9quipement",
      "url": "https://forums.ivanti.com/s/article/KB22964"
    },
    {
      "title": "[3] Billet de blogue Mandiant du 12 janvier 2024",
      "url": "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
    },
    {
      "title": "[2] Les bons r\u00e9flexes en cas d\u0027intrusion sur un syst\u00e8me d\u0027information",
      "url": "https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"
    },
    {
      "title": "[1] Billet de blogue Volexity du 10 janvier 2024",
      "url": "https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/"
    },
    {
      "title": "Recommandation suppl\u00e9mentaires pour les configurations en grappe",
      "url": "https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Ivanti du 08 f\u00e9vrier 2024",
      "url": "https://www.ivanti.com/blog/security-update-for-ivanti-connect-secure-and-ivanti-policy-secure-gateways-282024"
    },
    {
      "title": "[10] Bulletin technique Ivanti relatif \u00e0 la restauration des donn\u00e9es",
      "url": "https://forums.ivanti.com/s/article/KB44172"
    },
    {
      "title": "[8] Bulletin technique Ivanti relatif au t\u00e9l\u00e9chargement des firmwares",
      "url": "https://forums.ivanti.com/s/article/Post-Factory-Reset-Legacy-Package-Download"
    },
    {
      "title": "Avis CERT-FR CERTFR-2024-AVI-0109 du 09 f\u00e9vrier 2024",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0109/"
    },
    {
      "title": "[12] Billet de blogue Volexity du 18 janvier 2024",
      "url": "https://www.volexity.com/blog/2024/01/18/ivanti-connect-secure-vpn-exploitation-new-observations/"
    }
  ],
  "reference": "CERTFR-2024-ALE-001",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2024-01-11T00:00:00.000000"
    },
    {
      "description": "Ajout de recommandations",
      "revision_date": "2024-01-17T00:00:00.000000"
    },
    {
      "description": "MaJ ordre de la mise en oeuvre des mesures de contournement",
      "revision_date": "2024-01-19T00:00:00.000000"
    },
    {
      "description": "Mise \u00e0 jour des recommandations CERT-FR",
      "revision_date": "2024-01-23T00:00:00.000000"
    },
    {
      "description": "Information sur les correctifs et les nouvelles vuln\u00e9rabilit\u00e9s",
      "revision_date": "2024-01-31T00:00:00.000000"
    },
    {
      "description": "Fusion de la partie solution et contournement provisoire",
      "revision_date": "2024-02-01T00:00:00.000000"
    },
    {
      "description": "Nouveaux correctifs disponibles et clarification de la proc\u00e9dure",
      "revision_date": "2024-02-02T00:00:00.000000"
    },
    {
      "description": "Ajout de recommandations pour une configuration en grappe",
      "revision_date": "2024-02-05T00:00:00.000000"
    },
    {
      "description": "Ajout de la vuln\u00e9rabilit\u00e9 CVE-2024-22024",
      "revision_date": "2024-02-09T00:00:00.000000"
    },
    {
      "description": "Nouveaux correctifs disponibles",
      "revision_date": "2024-02-15T00:00:00.000000"
    },
    {
      "description": "Ajout d\u0027une proc\u00e9dure de r\u00e9solution pour les Ivanti Connect Secure ou Policy Secure en machine virtuelle",
      "revision_date": "2024-03-04T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2024-04-15T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    },
    {
      "description": "\u00c9l\u00e9vation de privil\u00e8ges"
    },
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    }
  ],
  "summary": "\u003cp\u003e\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e[Mise \u00e0 jour du 4 mars 2024]\u003c/strong\u003e Ivanti a publi\u00e9 le 29 f\u00e9vrier des recommandations de r\u00e9solution pour les Ivanti Connect Secure ou Policy Secure en machine virtuelle [16].\u003cbr /\u003e \u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 15 f\u00e9vrier 2024] \u003c/strong\u003e\u003cspan class=\"mx_EventTile_body markdown-body\" dir=\"auto\"\u003el\u0027\u00e9diteur a publi\u00e9 le 15 f\u00e9vrier des correctifs pour les versions suivantes, qui n\u0027en disposaient pas encore jusque-l\u00e0 :\u003c/span\u003e\u003cstrong\u003e\u003cbr /\u003e \u003c/strong\u003e\u003c/p\u003e \u003cul\u003e \u003cli\u003e\u003cspan class=\"mx_EventTile_body markdown-body\" dir=\"auto\"\u003eIvanti Connect Secure versions 9.1R15.3, 9.1R16.3, 22.1R6.1, 22.2R4.1, 22.3R1.1 et 22.4R1.1\u003c/span\u003e\u003c/li\u003e \u003cli\u003e\u003cspan class=\"mx_EventTile_body markdown-body\" dir=\"auto\"\u003eIvanti Policy Secure versions 9.1R16.3, 22.4R1.1 et 22.6R1.1\u003c/span\u003e\u003c/li\u003e \u003c/ul\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 09 f\u00e9vrier 2024] Ajout de la vuln\u00e9rabilit\u00e9 CVE-2024-22024\u003c/strong\u003e\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e\u003cbr /\u003e \u003c/strong\u003e\u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cspan class=\"mx_EventTile_body\" dir=\"auto\"\u003eLa publication des premi\u00e8res vuln\u00e9rabilit\u00e9s a fait suite \u00e0 la d\u00e9couverte par l\u0027\u00e9diteur de leur exploitation cibl\u00e9e, probablement depuis 2023. L\u0027exploitation de ces vuln\u00e9rabilit\u00e9s aurait permis aux attaquants de se lat\u00e9raliser et de r\u00e9cup\u00e9rer des identifiants sur les \u00e9quipements Ivanti compromis. Ensuite, des codes d\u0027exploitation, puis de nouvelles vuln\u00e9rabilit\u00e9s, ont \u00e9t\u00e9 publi\u00e9s mi-janvier. L\u0027ensemble de ces vuln\u00e9rabilit\u00e9s est exploit\u00e9 massivement.\u003c/span\u003e\u003c/p\u003e \u003cp\u003eLe 08 f\u00e9vrier 2024, Ivanti a publi\u00e9 un bulletin de s\u00e9curit\u00e9 concernant la vuln\u00e9rabilit\u00e9 \u003cspan class=\"mx_EventTile_body\" dir=\"auto\"\u003eCVE-2024-22024, affectant les produits \u003c/span\u003e\u003cspan class=\"test-id__field-value slds-form-element__static slds-grow slds-form-element_separator is-read-only iv-cad-fld\" data-aura-rendered-by=\"34:347;a\"\u003e\u003cspan data-aura-rendered-by=\"35:347;a\"\u003eIvanti Connect Secure, Ivanti Policy Secure et ZTA gateways. Le d\u00e9tail des versions vuln\u00e9rables est disponible dans la section solution. Elle permet \u00e0 un attaquant non authentifi\u00e9 d\u0027acc\u00e9der \u00e0 des ressources restreintes. Les chercheurs ayant d\u00e9couvert cette vuln\u00e9rabilit\u00e9 ont publi\u00e9 une preuve de concept.\u003cbr /\u003e \u003c/span\u003e\u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 04 f\u00e9vrier 2024] Ajout de recommandations pour une configuration en grappe\u003c/strong\u003e\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 02 f\u00e9vrier 2024] Correctifs disponibles pour les versions\u00a0Ivanti Connect Secure 22.5R2.2 et Ivanti Policy Secure 22.5R1.1. Clarification de la proc\u00e9dure.\u003cbr /\u003e \u003c/strong\u003e\u003c/p\u003e \u003cp\u003e\u003cspan style=\"color: #000000;\"\u003e\u003cstrong\u003e[Mise \u00e0 jour du 01 f\u00e9vrier 2024]\u003c/strong\u003e Fusion de la partie solution et contournement provisoire\u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Version du 31 janvier 2024]\u003c/strong\u003e Ajout d\u2019informations sur les correctifs et des nouvelles vuln\u00e9rabilit\u00e9s\u003c/p\u003e \u003cp\u003eL\u0027\u00e9diteur a publi\u00e9 des informations concernant deux nouvelles vuln\u00e9rabilit\u00e9s. La vuln\u00e9rabilit\u00e9 CVE-2024-21888 permet une \u00e9l\u00e9vation de privil\u00e8ge sur le composant web. La vuln\u00e9rabilit\u00e9 CVE-2024-21893 permet \u00e0 un attaquant non authentifi\u00e9 de forger des requ\u00eates c\u00f4t\u00e9 serveur (SSRF) au travers du composant SAML. Cette derni\u00e8re est activement exploit\u00e9e.\u003c/p\u003e \u003cp\u003eDes correctifs sont disponibles, veuillez vous r\u00e9f\u00e9rer \u00e0 la section Solution. Le CERT-FR a connaissance de tentatives de contournement de l\u0027outil ICT m\u00eame si la version externe est utilis\u00e9e.\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Version du 23 janvier 2024]\u003c/strong\u003e\u003c/p\u003e \u003cp\u003eDes acteurs malveillants exploitent massivement les vuln\u00e9rabilit\u00e9s dans le but d\u2019extorquer les comptes et les mots de passe ayant pu transiter sur les \u00e9quipements vuln\u00e9rables.\u003c/p\u003e \u003cp\u003eLa vuln\u00e9rabilit\u00e9 CVE-2023-46805 permet \u00e0 un attaquant de contourner l\u0027authentification, tandis que la vuln\u00e9rabilit\u00e9 CVE-2024-21887 permet \u00e0 un administrateur distant et authentifi\u00e9 d\u0027ex\u00e9cuter des commandes arbitraires. Un attaquant qui exploite ces deux vuln\u00e9rabilit\u00e9s peut par cons\u00e9quent prendre le contr\u00f4le complet de l\u2019\u00e9quipement.\u003c/p\u003e \u003cp\u003eIvanti indique que ces vuln\u00e9rabilit\u00e9s sont activement exploit\u00e9es dans le cadre d\u0027attaques cibl\u00e9es. Le CERT-FR a connaissance de nombreux \u00e9quipements compromis. Diff\u00e9rentes sources ont mentionn\u00e9 l\u0027exploitation de ces vuln\u00e9rabilit\u00e9s afin de mettre en place des m\u00e9thodes de persistance sur l\u0027\u00e9quipement [1][3].\u003c/p\u003e \u003cp\u003eDes codes d\u0027exploitations publics sont disponibles sur Internet afin d\u0027exploiter les deux vuln\u00e9rabilit\u00e9s \u00e0 la suite.\u003c/p\u003e \u003ch2\u003eD\u00e9tection\u003c/h2\u003e \u003cp\u003e\u003cstrong\u003e[Version du 23 janvier 2024]\u003c/strong\u003e\u003c/p\u003e \u003cp align=\"justify\"\u003ePour savoir si vous \u00eates concern\u00e9s par ces attaques, le CERT-FR vous propose les actions suivantes\u00a0:\u003c/p\u003e \u003col\u003e \u003cli\u003e \u003cp align=\"justify\"\u003eEx\u00e9cuter le script \u003ci\u003eIntegrity Check Tool \u003c/i\u003epubli\u00e9 par IVANTI [5] sur tous les \u00e9quipements composant la grappe (\u003ci\u003ecluster)\u003c/i\u003e. En cas de r\u00e9sultats non nuls aux \u00e9tapes 8 et 9, l\u2019\u00e9quipement est compromis ;\u003c/p\u003e \u003c/li\u003e \u003cli\u003e \u003cp align=\"justify\"\u003eL\u0027attaquant peut tenter de contourner les contr\u00f4les effectu\u00e9s par l\u0027\u003cem\u003eICT\u003c/em\u003e, il est donc \u00e9galement n\u00e9cessaire de rechercher dans les journaux toute trace des marqueurs publi\u00e9s par les sources publiques [1] [3] [11] [12] [13] [14]\u003cem\u003e. Note : Ces indicateurs n\u0027ont pas \u00e9t\u00e9 qualifi\u00e9s par le CERT-FR.\u003cbr /\u003e \u003c/em\u003e\u003c/p\u003e \u003c/li\u003e \u003c/ol\u003e \u003cp align=\"justify\"\u003eEn cas de d\u00e9tection positive\u00a0:\u003c/p\u003e \u003col\u003e \u003cli\u003e \u003cp align=\"justify\"\u003eR\u00e9aliser un gel de donn\u00e9es (instantan\u00e9s pour les \u003ci\u003eAppliances\u003c/i\u003e virtuelles, isolement de l\u2019\u00e9quipement s\u2019il s\u2019agit d\u2019un \u00e9quipement physique). Une fois le gel des donn\u00e9es effectu\u00e9 ou en cas d\u2019impossibilit\u00e9 de maintenir un isolement des \u00e9quipements physiques, proc\u00e9der aux mesures de contournements et recommandations mentionn\u00e9es dans la section suivante.\u003c/p\u003e \u003c/li\u003e \u003cli\u003e \u003cp align=\"justify\"\u003eSignaler l\u2019\u00e9v\u00e9nement aupr\u00e8s du CERT-FR en mettant en copie vos \u00e9ventuels CSIRT m\u00e9tiers. Le CERT-FR vous recontactera si n\u00e9cessaire pour le traitement de l\u2019incident ou vous communiquera des \u00e9l\u00e9ments suppl\u00e9mentaires.\u003c/p\u003e \u003c/li\u003e \u003c/ol\u003e \u003cp align=\"justify\"\u003ePar ailleurs, le CERT-FR r\u00e9alise r\u00e9guli\u00e8rement des scans \u00e0 partir des IP mentionn\u00e9es dans la page associ\u00e9e [6] et contacte les entit\u00e9s identifi\u00e9es comme vuln\u00e9rables ou compromises.\u003c/p\u003e ",
  "title": "[M\u00e0J] Multiples vuln\u00e9rabilit\u00e9s dans Ivanti Connect Secure et Policy Secure Gateways",
  "vendor_advisories": [
    {
      "published_at": "2024-01-10",
      "title": "[0] Bulletin de s\u00e9curit\u00e9 Ivanti 000090123",
      "url": "https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways"
    }
  ]
}

CERTFR-2024-AVI-0109

Vulnerability from certfr_avis - Published: - Updated:

Une vulnérabilité a été découverte dans les produits Ivanti. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

None

Impacted products

Vendor	Product	Description
Ivanti	N/A	Ivanti Connect Secure versions antérieures à 9.1R17.3
Ivanti	N/A	Ivanti Connect Secure versions antérieures à 22.5R1.2
Ivanti	N/A	Ivanti Connect Secure versions antérieures à 9.1R14.5
Ivanti	N/A	Ivanti Policy Secure versions antérieures à 22.5R1.2
Ivanti	N/A	Ivanti Connect Secure versions antérieures à 22.4R2.3
Ivanti	N/A	Ivanti Connect Secure versions antérieures à 9.1R18.4
Ivanti	N/A	ZTA gateways versions antérieures à 22.6R1.7

References

Title

Publication Time

Tags

Bulletin de sécurité Ivanti du 08 février 2024	None	vendor-advisory
Détails de la vulnérabilité CVE-2024-22024	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Ivanti Connect Secure versions ant\u00e9rieures \u00e0 9.1R17.3",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    },
    {
      "description": "Ivanti Connect Secure versions ant\u00e9rieures \u00e0 22.5R1.2",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    },
    {
      "description": "Ivanti Connect Secure versions ant\u00e9rieures \u00e0 9.1R14.5",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    },
    {
      "description": "Ivanti Policy Secure versions ant\u00e9rieures \u00e0 22.5R1.2",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    },
    {
      "description": "Ivanti Connect Secure versions ant\u00e9rieures \u00e0 22.4R2.3",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    },
    {
      "description": "Ivanti Connect Secure versions ant\u00e9rieures \u00e0 9.1R18.4",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    },
    {
      "description": "ZTA gateways versions ant\u00e9rieures \u00e0 22.6R1.7",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2024-22024",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-22024"
    }
  ],
  "links": [
    {
      "title": "D\u00e9tails de la vuln\u00e9rabilit\u00e9 CVE-2024-22024",
      "url": "https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US"
    }
  ],
  "reference": "CERTFR-2024-AVI-0109",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2024-02-09T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans \u003cspan class=\"textit\"\u003eles\nproduits Ivanti\u003c/span\u003e. Elles permettent \u00e0 un attaquant de provoquer un\ncontournement de la politique de s\u00e9curit\u00e9.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans les produits Ivanti",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Ivanti du 08 f\u00e9vrier 2024",
      "url": "https://www.ivanti.com/blog/security-update-for-ivanti-connect-secure-and-ivanti-policy-secure-gateways-282024"
    }
  ]
}

CERTFR-2024-AVI-0109

Vulnerability from certfr_avis - Published: - Updated:

Une vulnérabilité a été découverte dans les produits Ivanti. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

None

Impacted products

Vendor	Product	Description
Ivanti	N/A	Ivanti Connect Secure versions antérieures à 9.1R17.3
Ivanti	N/A	Ivanti Connect Secure versions antérieures à 22.5R1.2
Ivanti	N/A	Ivanti Connect Secure versions antérieures à 9.1R14.5
Ivanti	N/A	Ivanti Policy Secure versions antérieures à 22.5R1.2
Ivanti	N/A	Ivanti Connect Secure versions antérieures à 22.4R2.3
Ivanti	N/A	Ivanti Connect Secure versions antérieures à 9.1R18.4
Ivanti	N/A	ZTA gateways versions antérieures à 22.6R1.7

References

Title

Publication Time

Tags

Bulletin de sécurité Ivanti du 08 février 2024	None	vendor-advisory
Détails de la vulnérabilité CVE-2024-22024	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Ivanti Connect Secure versions ant\u00e9rieures \u00e0 9.1R17.3",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    },
    {
      "description": "Ivanti Connect Secure versions ant\u00e9rieures \u00e0 22.5R1.2",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    },
    {
      "description": "Ivanti Connect Secure versions ant\u00e9rieures \u00e0 9.1R14.5",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    },
    {
      "description": "Ivanti Policy Secure versions ant\u00e9rieures \u00e0 22.5R1.2",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    },
    {
      "description": "Ivanti Connect Secure versions ant\u00e9rieures \u00e0 22.4R2.3",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    },
    {
      "description": "Ivanti Connect Secure versions ant\u00e9rieures \u00e0 9.1R18.4",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    },
    {
      "description": "ZTA gateways versions ant\u00e9rieures \u00e0 22.6R1.7",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2024-22024",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-22024"
    }
  ],
  "links": [
    {
      "title": "D\u00e9tails de la vuln\u00e9rabilit\u00e9 CVE-2024-22024",
      "url": "https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US"
    }
  ],
  "reference": "CERTFR-2024-AVI-0109",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2024-02-09T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans \u003cspan class=\"textit\"\u003eles\nproduits Ivanti\u003c/span\u003e. Elles permettent \u00e0 un attaquant de provoquer un\ncontournement de la politique de s\u00e9curit\u00e9.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans les produits Ivanti",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Ivanti du 08 f\u00e9vrier 2024",
      "url": "https://www.ivanti.com/blog/security-update-for-ivanti-connect-secure-and-ivanti-policy-secure-gateways-282024"
    }
  ]
}

BDU:2024-01287

Vulnerability from fstec - Published: 31.01.2024

Title

Уязвимость средств контроля сетевого доступа Ivanti Connect Secure (ранее Pulse Connect Secure), Ivanti Policy Secure и средства управления аутентификацией и контролем доступа Ivanti Neurons for Zero Trust Access (nZTA), связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Description

Уязвимость средств контроля сетевого доступа Ivanti Connect Secure (ранее Pulse Connect Secure) и Ivanti Policy Secure и средства управления аутентификацией и контролем доступа Ivanti Neurons for Zero Trust Access (nZTA) связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Severity


                    
                      AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L

Vendor

Ivanti

Software Name

Connect Secure, Policy Secure, Ivanti Neurons for Zero Trust Access (nZTA)

Software Version

9.1R14.4 (Connect Secure), 9.1R17.2 (Connect Secure), 9.1R18.3 (Connect Secure), 22.4R2.2 (Connect Secure), 22.5R1.1 (Connect Secure), 22.5R1.1 (Policy Secure), 22.6R1.3 (Ivanti Neurons for Zero Trust Access (nZTA))

Possible Mitigations

Использование рекомендаций: https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US

Reference

https://help.ivanti.com/ps/help/en_US/nSA/22.x/nsa-zta/gsg/pzta_gsg_oview.htm#h1_1 https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US https://xakep.ru/2024/02/09/ivanti-cve-2024-22024/ https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US https://gist.github.com/Hamid-K/f4288dae3a1f2dea8905b1cf16d59c1b

CWE

CWE-611

JSON

To clipboard

{
  "CVSS 2.0": "AV:N/AC:L/Au:N/C:P/I:P/A:P",
  "CVSS 3.0": "AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L",
  "CVSS 4.0": null,
  "remediation_\u0418\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440": null,
  "remediation_\u041d\u0430\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u0435": null,
  "\u0412\u0435\u043d\u0434\u043e\u0440 \u041f\u041e": "Ivanti",
  "\u0412\u0435\u0440\u0441\u0438\u044f \u041f\u041e": "9.1R14.4 (Connect Secure), 9.1R17.2 (Connect Secure), 9.1R18.3 (Connect Secure), 22.4R2.2 (Connect Secure), 22.5R1.1 (Connect Secure), 22.5R1.1 (Policy Secure), 22.6R1.3 (Ivanti Neurons for Zero Trust Access (nZTA))",
  "\u0412\u043e\u0437\u043c\u043e\u0436\u043d\u044b\u0435 \u043c\u0435\u0440\u044b \u043f\u043e \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044e": "\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0430\u0446\u0438\u0439:\nhttps://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US",
  "\u0414\u0430\u0442\u0430 \u0432\u044b\u044f\u0432\u043b\u0435\u043d\u0438\u044f": "31.01.2024",
  "\u0414\u0430\u0442\u0430 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0433\u043e \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f": "17.10.2025",
  "\u0414\u0430\u0442\u0430 \u043f\u0443\u0431\u043b\u0438\u043a\u0430\u0446\u0438\u0438": "14.02.2024",
  "\u0418\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440": "BDU:2024-01287",
  "\u0418\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440\u044b \u0434\u0440\u0443\u0433\u0438\u0445 \u0441\u0438\u0441\u0442\u0435\u043c \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u0439 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "CVE-2024-22024",
  "\u0418\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043e\u0431 \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u0438": "\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0430",
  "\u041a\u043b\u0430\u0441\u0441 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u043a\u043e\u0434\u0430",
  "\u041d\u0430\u0437\u0432\u0430\u043d\u0438\u0435 \u041f\u041e": "Connect Secure, Policy Secure, Ivanti Neurons for Zero Trust Access (nZTA)",
  "\u041d\u0430\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u0435 \u041e\u0421 \u0438 \u0442\u0438\u043f \u0430\u043f\u043f\u0430\u0440\u0430\u0442\u043d\u043e\u0439 \u043f\u043b\u0430\u0442\u0444\u043e\u0440\u043c\u044b": null,
  "\u041d\u0430\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0441\u0440\u0435\u0434\u0441\u0442\u0432 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044f \u0441\u0435\u0442\u0435\u0432\u043e\u0433\u043e \u0434\u043e\u0441\u0442\u0443\u043f\u0430 Ivanti Connect Secure (\u0440\u0430\u043d\u0435\u0435 Pulse Connect Secure), Ivanti Policy Secure \u0438 \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0435\u0439 \u0438 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0435\u043c \u0434\u043e\u0441\u0442\u0443\u043f\u0430 Ivanti Neurons for Zero Trust Access (nZTA), \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u0430\u044f \u0441 \u043d\u0435\u0432\u0435\u0440\u043d\u044b\u043c \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u0435\u043c XML-\u0441\u0441\u044b\u043b\u043e\u043a \u043d\u0430 \u0432\u043d\u0435\u0448\u043d\u0438\u0435 \u043e\u0431\u044a\u0435\u043a\u0442\u044b, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0430\u044f \u043d\u0430\u0440\u0443\u0448\u0438\u0442\u0435\u043b\u044e \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u043d\u0435\u0441\u0430\u043d\u043a\u0446\u0438\u043e\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0437\u0430\u0449\u0438\u0449\u0430\u0435\u043c\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438",
  "\u041d\u0430\u043b\u0438\u0447\u0438\u0435 \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u0430": "\u0421\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442",
  "\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u043e\u0448\u0438\u0431\u043a\u0438 CWE": "\u041d\u0435\u0432\u0435\u0440\u043d\u043e\u0435 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u0435 XML-\u0441\u0441\u044b\u043b\u043e\u043a \u043d\u0430 \u0432\u043d\u0435\u0448\u043d\u0438\u0435 \u043e\u0431\u044a\u0435\u043a\u0442\u044b (CWE-611)",
  "\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0441\u0440\u0435\u0434\u0441\u0442\u0432 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044f \u0441\u0435\u0442\u0435\u0432\u043e\u0433\u043e \u0434\u043e\u0441\u0442\u0443\u043f\u0430 Ivanti Connect Secure (\u0440\u0430\u043d\u0435\u0435 Pulse Connect Secure) \u0438 Ivanti Policy Secure \u0438 \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0435\u0439 \u0438 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0435\u043c \u0434\u043e\u0441\u0442\u0443\u043f\u0430 Ivanti Neurons for Zero Trust Access (nZTA) \u0441\u0432\u044f\u0437\u0430\u043d\u0430 \u0441 \u043d\u0435\u0432\u0435\u0440\u043d\u044b\u043c \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u0435\u043c XML-\u0441\u0441\u044b\u043b\u043e\u043a \u043d\u0430 \u0432\u043d\u0435\u0448\u043d\u0438\u0435 \u043e\u0431\u044a\u0435\u043a\u0442\u044b. \u042d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u044f \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u043c\u043e\u0436\u0435\u0442 \u043f\u043e\u0437\u0432\u043e\u043b\u0438\u0442\u044c \u043d\u0430\u0440\u0443\u0448\u0438\u0442\u0435\u043b\u044e, \u0434\u0435\u0439\u0441\u0442\u0432\u0443\u044e\u0449\u0435\u043c\u0443 \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u043e, \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u043d\u0435\u0441\u0430\u043d\u043a\u0446\u0438\u043e\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0437\u0430\u0449\u0438\u0449\u0430\u0435\u043c\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438",
  "\u041f\u043e\u0441\u043b\u0435\u0434\u0441\u0442\u0432\u0438\u044f \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u0438 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": null,
  "\u041f\u0440\u043e\u0447\u0430\u044f \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f": null,
  "\u0421\u0432\u044f\u0437\u044c \u0441 \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u0430\u043c\u0438 \u0418\u0411": "\u0414\u0430",
  "\u0421\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u041e\u043f\u0443\u0431\u043b\u0438\u043a\u043e\u0432\u0430\u043d\u0430",
  "\u0421\u043f\u043e\u0441\u043e\u0431 \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f": "\u041e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u043e\u0433\u043e \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u044f",
  "\u0421\u043f\u043e\u0441\u043e\u0431 \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u0438": "\u0418\u043d\u044a\u0435\u043a\u0446\u0438\u044f",
  "\u0421\u0441\u044b\u043b\u043a\u0438 \u043d\u0430 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0438": "https://help.ivanti.com/ps/help/en_US/nSA/22.x/nsa-zta/gsg/pzta_gsg_oview.htm#h1_1\nhttps://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US\nhttps://xakep.ru/2024/02/09/ivanti-cve-2024-22024/\nhttps://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US\nhttps://gist.github.com/Hamid-K/f4288dae3a1f2dea8905b1cf16d59c1b",
  "\u0421\u0442\u0430\u0442\u0443\u0441 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u041f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u0430 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u0435\u043c",
  "\u0422\u0438\u043f \u041f\u041e": "\u0421\u0435\u0442\u0435\u0432\u043e\u0435 \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u043e, \u041f\u0440\u0438\u043a\u043b\u0430\u0434\u043d\u043e\u0435 \u041f\u041e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0445 \u0441\u0438\u0441\u0442\u0435\u043c, \u0421\u0435\u0442\u0435\u0432\u043e\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u043e\u0435 \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u043e, \u041f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u043e\u0435 \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u043e \u0437\u0430\u0449\u0438\u0442\u044b",
  "\u0422\u0438\u043f \u043e\u0448\u0438\u0431\u043a\u0438 CWE": "CWE-611",
  "\u0423\u0440\u043e\u0432\u0435\u043d\u044c \u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u0412\u044b\u0441\u043e\u043a\u0438\u0439 \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 (\u0431\u0430\u0437\u043e\u0432\u0430\u044f \u043e\u0446\u0435\u043d\u043a\u0430 CVSS 2.0 \u0441\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 7,5)\n\u0412\u044b\u0441\u043e\u043a\u0438\u0439 \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 (\u0431\u0430\u0437\u043e\u0432\u0430\u044f \u043e\u0446\u0435\u043d\u043a\u0430 CVSS 3.0 \u0441\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 8,3)"
}

FKIE_CVE-2024-22024

Vulnerability from fkie_nvd - Published: 2024-02-13 04:15 - Updated: 2026-06-17 07:10

KEVIntel

Severity

8.3 (High) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L

Summary

References

	URL	Tags
	support@hackerone.com	https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US	Vendor Advisory
	af854a3a-2127-422b-91ae-364da2661108	https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US	Vendor Advisory

Impacted products

Vendor	Product	Version
ivanti	connect_secure	9.1
ivanti	connect_secure	9.1
ivanti	connect_secure	9.1
ivanti	connect_secure	22.4
ivanti	connect_secure	22.5
ivanti	connect_secure	22.5
ivanti	policy_secure	22.5
ivanti	zero_trust_access_gateway	22.6

JSON

To clipboard

{
  "affected": [
    {
      "affectedData": [
        {
          "product": "ICS",
          "vendor": "Ivanti",
          "versions": [
            {
              "lessThan": "9.1R14.5",
              "status": "affected",
              "version": "9.1R14.5",
              "versionType": "semver"
            },
            {
              "lessThan": "9.1R17.3",
              "status": "affected",
              "version": "9.1R17.3",
              "versionType": "semver"
            },
            {
              "lessThan": "9.1R18.4",
              "status": "affected",
              "version": "9.1R18.4",
              "versionType": "semver"
            },
            {
              "lessThan": "22.1R6.1",
              "status": "affected",
              "version": "22.1R6.1",
              "versionType": "semver"
            },
            {
              "lessThan": "9.1R14.4",
              "status": "unaffected",
              "version": "9.1R14.4",
              "versionType": "semver"
            },
            {
              "lessThan": "9.1R15.2",
              "status": "unaffected",
              "version": "9.1R15.2",
              "versionType": "semver"
            },
            {
              "lessThan": "9.1R16.2",
              "status": "unaffected",
              "version": "9.1R16.2",
              "versionType": "semver"
            },
            {
              "lessThan": "9.1R17.2",
              "status": "unaffected",
              "version": "9.1R17.2",
              "versionType": "semver"
            },
            {
              "lessThan": "9.1R18.3",
              "status": "unaffected",
              "version": "9.1R18.3",
              "versionType": "semver"
            },
            {
              "lessThan": "22.1R6.1",
              "status": "unaffected",
              "version": "22.1R6.1",
              "versionType": "semver"
            },
            {
              "lessThan": "22.2R4.1",
              "status": "affected",
              "version": "22.2R4.1",
              "versionType": "semver"
            },
            {
              "lessThan": "22.3R1.1",
              "status": "affected",
              "version": "22.3R1.1",
              "versionType": "semver"
            },
            {
              "lessThan": "22.4R1.1",
              "status": "affected",
              "version": "22.4R1.1",
              "versionType": "semver"
            },
            {
              "lessThan": "22.5R1.2",
              "status": "affected",
              "version": "22.5R1.2",
              "versionType": "semver"
            },
            {
              "lessThan": "22.6R1.1",
              "status": "affected",
              "version": "22.6R1.1",
              "versionType": "semver"
            },
            {
              "lessThan": "22.4R2.3",
              "status": "affected",
              "version": "22.4R2.3",
              "versionType": "semver"
            },
            {
              "lessThan": "22.5R2.3",
              "status": "affected",
              "version": "22.5R2.3",
              "versionType": "semver"
            },
            {
              "lessThan": "22.6R2.2",
              "status": "affected",
              "version": "22.6R2.2",
              "versionType": "semver"
            },
            {
              "lessThan": "22.2R4.1",
              "status": "unaffected",
              "version": "22.2R4.1",
              "versionType": "semver"
            },
            {
              "lessThan": "22.3R1",
              "status": "unaffected",
              "version": "22.3R1",
              "versionType": "semver"
            },
            {
              "lessThan": "22.4R1.1",
              "status": "unaffected",
              "version": "22.4R1.1",
              "versionType": "semver"
            },
            {
              "lessThan": "22.5R1.1",
              "status": "unaffected",
              "version": "22.5R1.1",
              "versionType": "semver"
            },
            {
              "lessThan": "22.6R1.1",
              "status": "unaffected",
              "version": "22.6R1.1",
              "versionType": "semver"
            },
            {
              "lessThan": "22.4R2.2",
              "status": "unaffected",
              "version": "22.4R2.2",
              "versionType": "semver"
            },
            {
              "lessThan": "22.5R2.2",
              "status": "unaffected",
              "version": "22.5R2.2",
              "versionType": "semver"
            },
            {
              "lessThan": "22.6R2.2",
              "status": "unaffected",
              "version": "22.6R2.2",
              "versionType": "semver"
            }
          ]
        },
        {
          "product": "ICS",
          "vendor": "Ivant ",
          "versions": [
            {
              "lessThan": "9.1R15.3",
              "status": "affected",
              "version": "9.1R15.3",
              "versionType": "semver"
            }
          ]
        },
        {
          "product": "IPS",
          "vendor": "Ivanti",
          "versions": [
            {
              "lessThan": "9.1R18.4",
              "status": "affected",
              "version": "9.1R18.4",
              "versionType": "semver"
            },
            {
              "lessThan": "9.1R17.3",
              "status": "affected",
              "version": "9.1R17.3",
              "versionType": "semver"
            },
            {
              "lessThan": "22.5R1.2",
              "status": "affected",
              "version": "22.5R1.2",
              "versionType": "semver"
            },
            {
              "lessThan": "9.1R18.2",
              "status": "unaffected",
              "version": "9.1R18.2",
              "versionType": "semver"
            },
            {
              "lessThan": "9.1R17.2",
              "status": "unaffected",
              "version": "9.1R17.2",
              "versionType": "semver"
            },
            {
              "lessThan": "22.5R1.1",
              "status": "unaffected",
              "version": "22.5R1.1",
              "versionType": "semver"
            }
          ]
        }
      ],
      "source": "support@hackerone.com"
    }
  ],
  "configurations": [
    {
      "nodes": [
        {
          "cpeMatch": [
            {
              "criteria": "cpe:2.3:a:ivanti:connect_secure:9.1:r14.4:*:*:*:*:*:*",
              "matchCriteriaId": "06520C75-9326-4C21-8AD6-6DE1ED031959",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:ivanti:connect_secure:9.1:r17.2:*:*:*:*:*:*",
              "matchCriteriaId": "8971445A-D65F-4C0E-906F-7AC4953C5689",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:ivanti:connect_secure:9.1:r18.3:*:*:*:*:*:*",
              "matchCriteriaId": "014C7627-F211-48B1-80FA-3A7F608B4F23",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:ivanti:connect_secure:22.4:r2.2:*:*:*:*:*:*",
              "matchCriteriaId": "C4F6AA81-68BC-40B1-9062-DD678B52AAC7",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:ivanti:connect_secure:22.5:r1.1:*:*:*:*:*:*",
              "matchCriteriaId": "5CF1705D-BE88-4B19-BE66-6628D8D8B688",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:ivanti:connect_secure:22.5:r2.2:*:*:*:*:*:*",
              "matchCriteriaId": "49E6C8D1-612D-4C63-B3D4-D4AEE2747770",
              "vulnerable": true
            }
          ],
          "negate": false,
          "operator": "OR"
        }
      ]
    },
    {
      "nodes": [
        {
          "cpeMatch": [
            {
              "criteria": "cpe:2.3:a:ivanti:policy_secure:22.5:r1.1:*:*:*:*:*:*",
              "matchCriteriaId": "198A80DF-4BD5-4325-85FE-992324AB2166",
              "vulnerable": true
            }
          ],
          "negate": false,
          "operator": "OR"
        }
      ]
    },
    {
      "nodes": [
        {
          "cpeMatch": [
            {
              "criteria": "cpe:2.3:a:ivanti:zero_trust_access_gateway:22.6:r1.3:*:*:*:*:*:*",
              "matchCriteriaId": "8E0CDB32-8FD0-4892-B06D-9BF40A741B05",
              "vulnerable": true
            }
          ],
          "negate": false,
          "operator": "OR"
        }
      ]
    }
  ],
  "cveTags": [],
  "descriptions": [
    {
      "lang": "en",
      "value": "An XML external entity or XXE vulnerability in the SAML component of Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) and ZTA gateways which allows an attacker to access certain restricted resources without authentication."
    },
    {
      "lang": "es",
      "value": "Una entidad externa XML o vulnerabilidad XXE en el componente SAML de Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) y puertas de enlace ZTA que permite a un atacante acceder a ciertos recursos restringidos sin autenticaci\u00f3n."
    }
  ],
  "id": "CVE-2024-22024",
  "lastModified": "2026-06-17T07:10:33.683",
  "metrics": {
    "cvssMetricV30": [
      {
        "cvssData": {
          "attackComplexity": "LOW",
          "attackVector": "NETWORK",
          "availabilityImpact": "LOW",
          "baseScore": 8.3,
          "baseSeverity": "HIGH",
          "confidentialityImpact": "LOW",
          "integrityImpact": "LOW",
          "privilegesRequired": "NONE",
          "scope": "CHANGED",
          "userInteraction": "NONE",
          "vectorString": "CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L",
          "version": "3.0"
        },
        "exploitabilityScore": 3.9,
        "impactScore": 3.7,
        "source": "support@hackerone.com",
        "type": "Secondary"
      }
    ],
    "cvssMetricV31": [
      {
        "cvssData": {
          "attackComplexity": "LOW",
          "attackVector": "NETWORK",
          "availabilityImpact": "LOW",
          "baseScore": 8.3,
          "baseSeverity": "HIGH",
          "confidentialityImpact": "LOW",
          "integrityImpact": "LOW",
          "privilegesRequired": "NONE",
          "scope": "CHANGED",
          "userInteraction": "NONE",
          "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L",
          "version": "3.1"
        },
        "exploitabilityScore": 3.9,
        "impactScore": 3.7,
        "source": "nvd@nist.gov",
        "type": "Primary"
      }
    ],
    "ssvcV203": [
      {
        "source": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
        "ssvcData": {
          "id": "CVE-2024-22024",
          "options": [
            {
              "exploitation": "poc"
            },
            {
              "automatable": "yes"
            },
            {
              "technicalImpact": "partial"
            }
          ],
          "role": "CISA Coordinator",
          "timestamp": "2024-09-16T19:34:58.517182Z",
          "version": "2.0.3"
        }
      }
    ]
  },
  "published": "2024-02-13T04:15:07.943",
  "references": [
    {
      "source": "support@hackerone.com",
      "tags": [
        "Vendor Advisory"
      ],
      "url": "https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US"
    },
    {
      "source": "af854a3a-2127-422b-91ae-364da2661108",
      "tags": [
        "Vendor Advisory"
      ],
      "url": "https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US"
    }
  ],
  "sourceIdentifier": "support@hackerone.com",
  "vulnStatus": "Modified",
  "weaknesses": [
    {
      "description": [
        {
          "lang": "en",
          "value": "CWE-611"
        }
      ],
      "source": "nvd@nist.gov",
      "type": "Primary"
    },
    {
      "description": [
        {
          "lang": "en",
          "value": "CWE-611"
        }
      ],
      "source": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
      "type": "Secondary"
    }
  ]
}

GHSA-CMG9-P9GP-G7MR

Vulnerability from github – Published: 2024-02-13 06:30 – Updated: 2024-02-13 06:30

Details

Severity

8.3 (High)


                  
                    CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L

Show details on source website

JSON

To clipboard

{
  "affected": [],
  "aliases": [
    "CVE-2024-22024"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-611"
    ],
    "github_reviewed": false,
    "github_reviewed_at": null,
    "nvd_published_at": "2024-02-13T04:15:07Z",
    "severity": "HIGH"
  },
  "details": "An XML external entity or XXE vulnerability in the SAML component of Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) and ZTA gateways which allows an attacker to access certain restricted resources without authentication.",
  "id": "GHSA-cmg9-p9gp-g7mr",
  "modified": "2024-02-13T06:30:28Z",
  "published": "2024-02-13T06:30:28Z",
  "references": [
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-22024"
    },
    {
      "type": "WEB",
      "url": "https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US"
    }
  ],
  "schema_version": "1.4.0",
  "severity": [
    {
      "score": "CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L",
      "type": "CVSS_V3"
    }
  ]
}

GSD-2024-22024

Vulnerability from gsd - Updated: 2024-01-04 06:02

Details

Aliases

CVE-2024-22024

JSON

To clipboard

{
  "gsd": {
    "metadata": {
      "exploitCode": "unknown",
      "remediation": "unknown",
      "reportConfidence": "confirmed",
      "type": "vulnerability"
    },
    "osvSchema": {
      "aliases": [
        "CVE-2024-22024"
      ],
      "details": "An XML external entity or XXE vulnerability in the SAML component of Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) and ZTA gateways which allows an attacker to access certain restricted resources without authentication.",
      "id": "GSD-2024-22024",
      "modified": "2024-01-04T06:02:16.678390Z",
      "schema_version": "1.4.0"
    }
  },
  "namespaces": {
    "cve.org": {
      "CVE_data_meta": {
        "ASSIGNER": "support@hackerone.com",
        "ID": "CVE-2024-22024",
        "STATE": "PUBLIC"
      },
      "affects": {
        "vendor": {
          "vendor_data": [
            {
              "product": {
                "product_data": [
                  {
                    "product_name": "ICS",
                    "version": {
                      "version_data": [
                        {
                          "version_value": "not down converted",
                          "x_cve_json_5_version_data": {
                            "versions": [
                              {
                                "lessThan": "9.1R14.5",
                                "status": "affected",
                                "version": "9.1R14.5",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "9.1R17.3",
                                "status": "affected",
                                "version": "9.1R17.3",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "9.1R18.4",
                                "status": "affected",
                                "version": "9.1R18.4",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "22.1R6.1",
                                "status": "affected",
                                "version": "22.1R6.1",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "9.1R14.4",
                                "status": "unaffected",
                                "version": "9.1R14.4",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "9.1R15.2",
                                "status": "unaffected",
                                "version": "9.1R15.2",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "9.1R16.2",
                                "status": "unaffected",
                                "version": "9.1R16.2",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "9.1R17.2",
                                "status": "unaffected",
                                "version": "9.1R17.2",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "9.1R18.3",
                                "status": "unaffected",
                                "version": "9.1R18.3",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "22.1R6.1",
                                "status": "unaffected",
                                "version": "22.1R6.1",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "22.2R4.1",
                                "status": "affected",
                                "version": "22.2R4.1",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "22.3R1.1",
                                "status": "affected",
                                "version": "22.3R1.1",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "22.4R1.1",
                                "status": "affected",
                                "version": "22.4R1.1",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "22.5R1.2",
                                "status": "affected",
                                "version": "22.5R1.2",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "22.6R1.1",
                                "status": "affected",
                                "version": "22.6R1.1",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "22.4R2.3",
                                "status": "affected",
                                "version": "22.4R2.3",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "22.5R2.3",
                                "status": "affected",
                                "version": "22.5R2.3",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "22.6R2.2",
                                "status": "affected",
                                "version": "22.6R2.2",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "22.2R4.1",
                                "status": "unaffected",
                                "version": "22.2R4.1",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "22.3R1",
                                "status": "unaffected",
                                "version": "22.3R1",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "22.4R1.1",
                                "status": "unaffected",
                                "version": "22.4R1.1",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "22.5R1.1",
                                "status": "unaffected",
                                "version": "22.5R1.1",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "22.6R1.1",
                                "status": "unaffected",
                                "version": "22.6R1.1",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "22.4R2.2",
                                "status": "unaffected",
                                "version": "22.4R2.2",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "22.5R2.2",
                                "status": "unaffected",
                                "version": "22.5R2.2",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "22.6R2.2",
                                "status": "unaffected",
                                "version": "22.6R2.2",
                                "versionType": "semver"
                              }
                            ]
                          }
                        }
                      ]
                    }
                  },
                  {
                    "product_name": "IPS",
                    "version": {
                      "version_data": [
                        {
                          "version_value": "not down converted",
                          "x_cve_json_5_version_data": {
                            "versions": [
                              {
                                "lessThan": "9.1R18.4",
                                "status": "affected",
                                "version": "9.1R18.4",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "9.1R17.3",
                                "status": "affected",
                                "version": "9.1R17.3",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "22.5R1.2",
                                "status": "affected",
                                "version": "22.5R1.2",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "9.1R18.2",
                                "status": "unaffected",
                                "version": "9.1R18.2",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "9.1R17.2",
                                "status": "unaffected",
                                "version": "9.1R17.2",
                                "versionType": "semver"
                              },
                              {
                                "lessThan": "22.5R1.1",
                                "status": "unaffected",
                                "version": "22.5R1.1",
                                "versionType": "semver"
                              }
                            ]
                          }
                        }
                      ]
                    }
                  }
                ]
              },
              "vendor_name": "Ivanti"
            },
            {
              "product": {
                "product_data": [
                  {
                    "product_name": "ICS",
                    "version": {
                      "version_data": [
                        {
                          "version_affected": "\u003c",
                          "version_name": "9.1R15.3",
                          "version_value": "9.1R15.3"
                        }
                      ]
                    }
                  }
                ]
              },
              "vendor_name": "Ivant "
            }
          ]
        }
      },
      "data_format": "MITRE",
      "data_type": "CVE",
      "data_version": "4.0",
      "description": {
        "description_data": [
          {
            "lang": "eng",
            "value": "An XML external entity or XXE vulnerability in the SAML component of Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) and ZTA gateways which allows an attacker to access certain restricted resources without authentication."
          }
        ]
      },
      "impact": {
        "cvss": [
          {
            "baseScore": 8.3,
            "baseSeverity": "HIGH",
            "vectorString": "CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L",
            "version": "3.0"
          }
        ]
      },
      "problemtype": {
        "problemtype_data": [
          {
            "description": [
              {
                "lang": "eng",
                "value": "n/a"
              }
            ]
          }
        ]
      },
      "references": {
        "reference_data": [
          {
            "name": "https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US",
            "refsource": "MISC",
            "url": "https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US"
          }
        ]
      }
    },
    "nvd.nist.gov": {
      "cve": {
        "configurations": [
          {
            "nodes": [
              {
                "cpeMatch": [
                  {
                    "criteria": "cpe:2.3:a:ivanti:connect_secure:9.1:r14.4:*:*:*:*:*:*",
                    "matchCriteriaId": "06520C75-9326-4C21-8AD6-6DE1ED031959",
                    "vulnerable": true
                  },
                  {
                    "criteria": "cpe:2.3:a:ivanti:connect_secure:9.1:r17.2:*:*:*:*:*:*",
                    "matchCriteriaId": "8971445A-D65F-4C0E-906F-7AC4953C5689",
                    "vulnerable": true
                  },
                  {
                    "criteria": "cpe:2.3:a:ivanti:connect_secure:9.1:r18.3:*:*:*:*:*:*",
                    "matchCriteriaId": "014C7627-F211-48B1-80FA-3A7F608B4F23",
                    "vulnerable": true
                  },
                  {
                    "criteria": "cpe:2.3:a:ivanti:connect_secure:22.4:r2.2:*:*:*:*:*:*",
                    "matchCriteriaId": "C4F6AA81-68BC-40B1-9062-DD678B52AAC7",
                    "vulnerable": true
                  },
                  {
                    "criteria": "cpe:2.3:a:ivanti:connect_secure:22.5:r1.1:*:*:*:*:*:*",
                    "matchCriteriaId": "5CF1705D-BE88-4B19-BE66-6628D8D8B688",
                    "vulnerable": true
                  },
                  {
                    "criteria": "cpe:2.3:a:ivanti:connect_secure:22.5:r2.2:*:*:*:*:*:*",
                    "matchCriteriaId": "49E6C8D1-612D-4C63-B3D4-D4AEE2747770",
                    "vulnerable": true
                  }
                ],
                "negate": false,
                "operator": "OR"
              }
            ]
          },
          {
            "nodes": [
              {
                "cpeMatch": [
                  {
                    "criteria": "cpe:2.3:a:ivanti:policy_secure:22.5:r1.1:*:*:*:*:*:*",
                    "matchCriteriaId": "198A80DF-4BD5-4325-85FE-992324AB2166",
                    "vulnerable": true
                  }
                ],
                "negate": false,
                "operator": "OR"
              }
            ]
          },
          {
            "nodes": [
              {
                "cpeMatch": [
                  {
                    "criteria": "cpe:2.3:a:ivanti:zero_trust_access:22.6:r1.3:*:*:*:*:*:*",
                    "matchCriteriaId": "E70E1C11-4209-49F0-952E-636F67187225",
                    "vulnerable": true
                  }
                ],
                "negate": false,
                "operator": "OR"
              }
            ]
          }
        ],
        "descriptions": [
          {
            "lang": "en",
            "value": "An XML external entity or XXE vulnerability in the SAML component of Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) and ZTA gateways which allows an attacker to access certain restricted resources without authentication."
          },
          {
            "lang": "es",
            "value": "Una entidad externa XML o vulnerabilidad XXE en el componente SAML de Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) y puertas de enlace ZTA que permite a un atacante acceder a ciertos recursos restringidos sin autenticaci\u00f3n."
          }
        ],
        "id": "CVE-2024-22024",
        "lastModified": "2024-02-13T15:15:32.193",
        "metrics": {
          "cvssMetricV30": [
            {
              "cvssData": {
                "attackComplexity": "LOW",
                "attackVector": "NETWORK",
                "availabilityImpact": "LOW",
                "baseScore": 8.3,
                "baseSeverity": "HIGH",
                "confidentialityImpact": "LOW",
                "integrityImpact": "LOW",
                "privilegesRequired": "NONE",
                "scope": "CHANGED",
                "userInteraction": "NONE",
                "vectorString": "CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L",
                "version": "3.0"
              },
              "exploitabilityScore": 3.9,
              "impactScore": 3.7,
              "source": "support@hackerone.com",
              "type": "Secondary"
            }
          ],
          "cvssMetricV31": [
            {
              "cvssData": {
                "attackComplexity": "LOW",
                "attackVector": "NETWORK",
                "availabilityImpact": "LOW",
                "baseScore": 8.3,
                "baseSeverity": "HIGH",
                "confidentialityImpact": "LOW",
                "integrityImpact": "LOW",
                "privilegesRequired": "NONE",
                "scope": "CHANGED",
                "userInteraction": "NONE",
                "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L",
                "version": "3.1"
              },
              "exploitabilityScore": 3.9,
              "impactScore": 3.7,
              "source": "nvd@nist.gov",
              "type": "Primary"
            }
          ]
        },
        "published": "2024-02-13T04:15:07.943",
        "references": [
          {
            "source": "support@hackerone.com",
            "tags": [
              "Vendor Advisory"
            ],
            "url": "https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US"
          }
        ],
        "sourceIdentifier": "support@hackerone.com",
        "vulnStatus": "Analyzed",
        "weaknesses": [
          {
            "description": [
              {
                "lang": "en",
                "value": "CWE-611"
              }
            ],
            "source": "nvd@nist.gov",
            "type": "Primary"
          }
        ]
      }
    }
  }
}

WID-SEC-W-2024-0325

Vulnerability from csaf_certbund - Published: 2024-02-08 23:00 - Updated: 2024-02-08 23:00

Summary

Ivanti Connect Secure and Ivanti Policy Secure: Schwachstelle ermöglicht Umgehung von Sicherheitsmechanismen

Severity

Hoch

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung: Connect Secure bietet TLS- und mobile VPN-Lösungen. Ivanti Policy Secure ist eine Network Access Control (NAC) Lösung.

Angriff: Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Ivanti Connect Secure und Ivanti Policy Secure ausnutzen, um Sicherheitsmechanismen zu umgehen.

Betroffene Betriebssysteme: - MacOS X - Windows

CVE-2024-22024

Es besteht eine Schwachstelle in Ivanti Connect Secure und Ivanti Policy Secure. Dieser Fehler besteht in der SAML-Komponente aufgrund eines Problems mit einer externen XML-Entität. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um Sicherheitsmechanismen zu umgehen und in der Folge vertrauliche Informationen offenzulegen.

References

4 references

URL	Category
https://wid.cert-bund.de/.well-known/csaf/white/2…	self
https://wid.cert-bund.de/portal/wid/securityadvis…	self
https://forums.ivanti.com/s/article/CVE-2024-2202…	external
https://www.ivanti.com/blog/security-update-for-i…	external

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "Connect Secure bietet TLS- und mobile VPN-L\u00f6sungen.\r\nIvanti Policy Secure ist eine Network Access Control (NAC) L\u00f6sung.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Ivanti Connect Secure und Ivanti Policy Secure ausnutzen, um Sicherheitsmechanismen zu umgehen.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- MacOS X\n- Windows",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2024-0325 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0325.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2024-0325 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0325"
      },
      {
        "category": "external",
        "summary": "Ivanti Security Advisory vom 2024-02-08",
        "url": "https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US"
      },
      {
        "category": "external",
        "summary": "Ivanti Security Blog vom 2024-02-08",
        "url": "https://www.ivanti.com/blog/security-update-for-ivanti-connect-secure-and-ivanti-policy-secure-gateways-282024"
      }
    ],
    "source_lang": "en-US",
    "title": "Ivanti Connect Secure and Ivanti Policy Secure: Schwachstelle erm\u00f6glicht Umgehung von Sicherheitsmechanismen",
    "tracking": {
      "current_release_date": "2024-02-08T23:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T18:04:59.215+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2024-0325",
      "initial_release_date": "2024-02-08T23:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2024-02-08T23:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "branches": [
              {
                "category": "product_version_range",
                "name": "\u003c 9.1R14.5",
                "product": {
                  "name": "Ivanti Connect Secure \u003c 9.1R14.5",
                  "product_id": "T032613"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003c 9.1R17.3",
                "product": {
                  "name": "Ivanti Connect Secure \u003c 9.1R17.3",
                  "product_id": "T032614"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003c 9.1R18.4",
                "product": {
                  "name": "Ivanti Connect Secure \u003c 9.1R18.4",
                  "product_id": "T032615"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003c 22.4R2.3",
                "product": {
                  "name": "Ivanti Connect Secure \u003c 22.4R2.3",
                  "product_id": "T032616"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003c 22.5R1.2",
                "product": {
                  "name": "Ivanti Connect Secure \u003c 22.5R1.2",
                  "product_id": "T032617"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003c 22.5R2.3",
                "product": {
                  "name": "Ivanti Connect Secure \u003c 22.5R2.3",
                  "product_id": "T032618"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003c 22.6R2.2",
                "product": {
                  "name": "Ivanti Connect Secure \u003c 22.6R2.2",
                  "product_id": "T032619"
                }
              }
            ],
            "category": "product_name",
            "name": "Connect Secure"
          },
          {
            "branches": [
              {
                "category": "product_version_range",
                "name": "\u003c 9.1R17.3",
                "product": {
                  "name": "Ivanti Policy Secure \u003c 9.1R17.3",
                  "product_id": "T032620"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003c 9.1R18.4",
                "product": {
                  "name": "Ivanti Policy Secure \u003c 9.1R18.4",
                  "product_id": "T032621"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003c 22.5R1.2",
                "product": {
                  "name": "Ivanti Policy Secure \u003c 22.5R1.2",
                  "product_id": "T032622"
                }
              }
            ],
            "category": "product_name",
            "name": "Policy Secure"
          }
        ],
        "category": "vendor",
        "name": "Ivanti"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2024-22024",
      "notes": [
        {
          "category": "description",
          "text": "Es besteht eine Schwachstelle in Ivanti Connect Secure und Ivanti Policy Secure. Dieser Fehler besteht in der SAML-Komponente aufgrund eines Problems mit einer externen XML-Entit\u00e4t. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um Sicherheitsmechanismen zu umgehen und in der Folge vertrauliche Informationen offenzulegen."
        }
      ],
      "release_date": "2024-02-08T23:00:00.000+00:00",
      "title": "CVE-2024-22024"
    }
  ]
}

Tags

Taxonomy of the tags.

All sightings related to this event Export sightings related to this event

Experimental. This forecast is provided for visualization only and may change without notice. Do not use it for operational decisions.

Forecast uses a logistic model when the trend is rising, or an exponential decay model when the trend is falling. Fitted via linearized least squares.

Sightings

Author	Source	Type	Date	Other

Nomenclature

Seen: The vulnerability was mentioned, discussed, or observed by the user.
Confirmed: The vulnerability has been validated from an analyst's perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
Not confirmed: The user expressed doubt about the validity of the vulnerability.
Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.

Detection rules are retrieved from Rulezet.

Action not permitted

CVE-2024-22024 (GCVE-0-2024-22024)

KEVIntel

Known Exploited Vulnerability - GCVE BCP-07 Compliant

Timestamps

Scope

Evidence

Public Report Successful Exploitation Confidence: 70% Source: kevintel

Details

References

Détection

Contournement provisoire

Recommandations supplémentaires du cert-fr

Solution

Détection

Contournement provisoire

Recommandations supplémentaires du cert-fr

Solution

Solution

Solution

Tags

Sightings

Nomenclature