Kritična ranjivost u Ivanti proizvodima
Dana 8. listopada 2024. tvrtka Ivanti je otklonila kritičnu ranjivost u proizvodima Ivanti Connect Secure i Ivanti Policy Secure.
Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem:
Ranjivost CVE-2024-37404 (CVSS ocjena od 9.1), odnosi se na neispravno provjeravanje unosa u administratorskom portalu, što omogućava udaljenom autentificiranom napadaču udaljeno izvršavanje kôda (engl. remote code execution - RCE).
Zahvaćeni proizvodi:
- Ivanti Connect Secure: Sve verzije prije 22.7R2.1
- Ivanti Connect Secure: Sve verzije prije 9.1R18.9
- Ivanti Policy Secure: Sve verzije prije 22.7R1.1
Preporuke:
Preporučuje se žurna nadogradnja ranjivih proizvoda na najnoviju dostupnu ispravljenu verziju.
Više informacija moguće je pročitati na poveznicama u nastavku:
- https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Connect-Secure-and-Policy-Secure-CVE-2024-37404
- https://socradar.io/new-ivanti-csa-zero-days-under-active-exploitation-critical-rce-in-connect-secure-policy-secure/l
[inicijalna objava: 17.10.2024 - 08:10]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije)
- Zakon o kibernetičkoj sigurnosti
- Odluka o provedbi Odluke br. 1104/2011/EU Europskog parlamenta i Vijeća od 25. listopada 2011. o pravilima za pristup javno reguliranoj usluzi koju pruža globalni navigacijski satelitski sustav uspostavljen u sklopu programa Galileo
- Smjernice za postupanje s neklasificiranim podacima