Компания Ivanti выпустила срочное уведомление о безопасности, в котором сообщается об обнаружении одиннадцати уязвимостей в своих продуктах для защищённого удалённого доступа. Шесть из них имеют средний уровень серьёзности, а пять классифицированы как высокие. Проблемы затрагивают такие решения, как Ivanti Connect Secure, Policy Secure, ZTA Gateways и Neurons for Secure Access.
Детали уязвимостей
На текущий момент нет никаких свидетельств того, что эти уязвимости уже использовались злоумышленниками против клиентов компании. Все необходимые исправления уже выпущены и доступны для установки. Среди обнаруженных проблем - отсутствие проверок авторизации, уязвимости типа подделки межсайтовых запросов (CSRF), подделка запросов на стороне сервера (SSRF) и условия, ведущие к отказу в обслуживании.
Область воздействия уязвимостей охватывает как локальные, так и облачные продукты компании. Под риском находятся версии Ivanti Connect Secure 22.7R2.8 и более ранние, Policy Secure 22.7R1.4 и ранее, ZTA Gateways 22.8R2.2, а также Neurons for Secure Access 22.8R1.3 и предыдущие выпуски. Важно отметить, что исправления для всех продуктов были развёрнуты ещё второго августа 2025 года, а облачные среды Neurons for Secure Access были обновлены в автоматическом режиме без необходимости вмешательства со стороны пользователей.
Среди наиболее серьёзных уязвимостей выделяются CVE-2025-55145 с оценкой 8.9 по шкале CVSS, позволяющая удалённому аутентифицированному злоумышленнику перехватывать существующие HTML5-подключения. Также высокие баллы получили CVE-2025-55147, CVE-2025-55148, CVE-2025-55141 и CVE-2025-55142, которые связаны с выполнением несанкционированных действий, включая изменение конфигурации аутентификации и критически важных настроек.
Компания настоятельно рекомендует всем клиентам немедленно применить предоставленные обновления. Для Ivanti Connect Secure требуется обновление до версии 22.7R2.9 или 22.8R2, которое можно загрузить через официальный портал. Пользователи Ivanti Policy Secure должны перейти на версию 22.7R1.5. Владельцам ZTA Gateways необходимо установить выпуск 22.8R2.3-723 через интерфейс контроллера. Для пользователей облачного решения Neurons for Secure Access никаких действий не требуется, так как исправления были применены автоматически.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-8712
- https://www.cve.org/CVERecord?id=CVE-2025-8711
- https://www.cve.org/CVERecord?id=CVE-2025-55145
- https://www.cve.org/CVERecord?id=CVE-2025-55146
- https://www.cve.org/CVERecord?id=CVE-2025-55147
- https://www.cve.org/CVERecord?id=CVE-2025-55148
- https://www.cve.org/CVERecord?id=CVE-2025-55139
- https://www.cve.org/CVERecord?id=CVE-2025-55141
- https://www.cve.org/CVERecord?id=CVE-2025-55142
- https://www.cve.org/CVERecord?id=CVE-2025-55143
- https://www.cve.org/CVERecord?id=CVE-2025-55144
- https://forums.ivanti.com/s/article/September-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-and-Neurons-for-Secure-Access-Multiple-CVEs?language=en_US
