Търсене
Close this search box.

Ivanti съобщава за две критични уязвимости от типа Zero-Day

Миналата седмица изследователи на Ivanti сигнализираха за две уязвимости от нулев ден, открити в нейните продукти – CVE-2023-46805 и CVE-2024-21887 – които вече се използват активно от участници в заплахи.

Уязвимостите са открити в шлюзовете Ivanti Connect Secure (ICS) и Ivanti Policy Secure, като уязвимостите засягат всички поддържани версии (версии 9.x и 22.x). Volexity съдейства за идентифицирането и докладването на проблемите в шлюзовете Ivanti Connect Secure, Ivanti Policy Secure и ZTA.

CVE-2023-46805 е уязвимост за заобикаляне на удостоверяването, която позволява на участниците в заплахата да получат достъп до ограничени материали от разстояние и има CVSS рейтинг 8.2. CVE-2024-21887, с оценка по CVSS 9.1, е уязвимост за инжектиране на команди, която позволява на автентикирани администратори да изпращат уникални заявки, както и да изпълняват произволни команди.

Изследователите на Ivanti съобщиха, че е налично смекчаване и кръпките ще бъдат пуснати на вълни при поетапен подход – кръпката за уязвимостта за заобикаляне на удостоверяването ще бъде налична на 22 януари; кръпката за уязвимостта за инжектиране на команди е предвидена за 19 февруари. Докато се разработват кръпките, е налично смекчаване от доставчика, но изследователите на Ivanti подчертават, че е важно клиентите да предприемат незабавни действия.

За съдействие или помощ при въпроси Ivanti насочва клиентите към своя портал , за да поискат обаждане или да регистрират случай. Инструкциите за прилагане на смекчаващите мерки са достъпни на уебсайта.

 

Източник: DARKReading

Подобни публикации

18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
17 април 2024

Последни тенденции при зловредния софтуер

В днешната дигитална ера киберсигурността се превърна в постоянна г...
17 април 2024

FTC налага глоби на стартъпа за психично здраве...

Федералната търговска комисия на САЩ (FTC) разпореди на компанията ...
17 април 2024

BMC на Intel и Lenovo съдържат непоправен недос...

Нови открития на Binarly показват, че пропуск в сигурността, засяга...
17 април 2024

Пробивът на паролите в Sisense предизвиква "зло...

Експертите се опасяват, че компрометирането на Sisense, който разпо...
16 април 2024

UnitedHealth Group отчете 872 млн. щатски долар...

UnitedHealth Group отчете 872 млн. щатски долара въздействие върху ...
Бъдете социални
Още по темата
17/04/2024

BMC на Intel и Lenovo съдър...

Нови открития на Binarly показват, че...
20/03/2024

Новият инструмент на GitHub...

GitHub представи нова функция с изкуствен...
20/03/2024

Ivanti отстрани критична гр...

Ivanti предупреди клиентите си незабавно да...
Последно добавени
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!