12 августа 2025 года компания Ivanti выпустила экстренные обновления безопасности для своих продуктов Connect Secure, Policy Secure и ZTA Gateway, устраняющие четыре уязвимости, которые могут быть использованы злоумышленниками для организации атак типа «отказ в обслуживании» (DoS). На момент публикации бюллетеня случаев эксплуатации этих уязвимостей в реальных атаках не зафиксировано.
Критические недостатки безопасности
Среди выявленных уязвимостей две получили высокий уровень опасности (CVSS 7.5). Первая, CVE-2025-5456, представляет собой проблему переполнения буфера при чтении (buffer over-read). Неавторизованный злоумышленник может воспользоваться этой уязвимостью для вывода систем из строя, вызвав отказ в обслуживании. Проблема затрагивает несколько продуктов Ivanti, включая Connect Secure (версии до 22.7R2.8 и 22.8R2), Policy Secure (ранее 22.7R1.5), ZTA Gateway (до 22.8R2.3-723) и Neurons for Secure Access (ранее 22.8R1.4).
Вторая критическая уязвимость, CVE-2025-5462, также получившая оценку 7.5, связана с переполнением кучи (heap-based buffer overflow). Как и в предыдущем случае, она позволяет удаленным атакующим без аутентификации нарушить работу сервисов, что создает серьезную угрозу для корпоративных сетей.
Средние по опасности уязвимости
Две другие уязвимости, хотя и менее критичны, по-прежнему требуют внимания администраторов. CVE-2025-5466 (CVSS 4.9) - это уязвимость типа XML External Entity (XXE), которая может быть использована для DoS-атак, но только при наличии административных привилегий. Еще один недостаток, CVE-2025-5468 (CVSS 5.5), связан с некорректной обработкой символических ссылок, что позволяет локальным аутентифицированным пользователям читать произвольные файлы на диске, потенциально раскрывая конфиденциальные данные.
Рекомендации по обновлению
Ivanti уже выпустила патчи для всех уязвимых версий программного обеспечения. Облачные сервисы компании получили часть исправлений еще 2 августа 2025 года. Владельцам решений Connect Secure рекомендуется обновиться до версий 22.7R2.8 или 22.8R2, пользователям Policy Secure - до 22.7R1.5, а клиентам ZTA Gateway необходимо установить обновление 22.8R2.3-723 через интерфейс контроллера.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-5456
- https://www.cve.org/CVERecord?id=CVE-2025-5462
- https://www.cve.org/CVERecord?id=CVE-2025-5466
- https://www.cve.org/CVERecord?id=CVE-2025-5468
- https://forums.ivanti.com/s/article/August-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-Multiple-CVEs?language=en_US
