CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2024-21887

Command injection w Ivanti Connect Secure i Policy Secure — RCE jako administrator

CVSS 9.1v3.1pub. 2024-01-12upd. 2025-10-31

Podatność typu command injection w komponentach webowych Ivanti Connect Secure (9.x, 22.x) oraz Ivanti Policy Secure (9.x, 22.x) umożliwia uwierzytelnionemu administratorowi wykonanie dowolnych poleceń systemowych na urządzeniu. Podatność jest aktywnie exploitowana i znajduje się w katalogu CISA KEV.

Pokaż oryginał (EN)

A command injection vulnerability in web components of Ivanti Connect Secure (9.x, 22.x) and Ivanti Policy Secure (9.x, 22.x) allows an authenticated administrator to send specially crafted requests and execute arbitrary commands on the appliance.

🤖 Analiza AI
Jak działa

Atakujący z uprawnieniami administratora może wysyłać specjalnie spreparowane żądania do komponentów webowych urządzenia. Wstrzyknięte polecenia są wykonywane bezpośrednio przez system operacyjny appliance'u bez odpowiedniej walidacji i sanityzacji danych wejściowych (CWE-77). W połączeniu z podatnością CVE-2023-46805 (authentication bypass), dostępną w tych samych produktach, możliwe jest osiągnięcie nieuwierzytelnionego RCE — co potwierdzają publicznie dostępne exploity.

Skutki

Atakujący może wykonać dowolne polecenia systemowe na urządzeniu, co w praktyce oznacza pełne przejęcie kontroli nad appliance'em, w tym możliwość uzyskania dostępu do poufnych danych, modyfikacji konfiguracji oraz dalszego ruchu w sieci (lateral movement).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (forum Ivanti: CVE-2023-46805 i CVE-2024-21887). Ze względu na aktywne exploitowanie podatności oraz dostępność publicznego exploitu, aktualizacja powinna zostać przeprowadzona natychmiastowo. Zaleca się również przegląd logów pod kątem śladów kompromitacji.

Kogo dotyczy

Ivanti Connect Secure w wersjach 9.x oraz 22.x; Ivanti Policy Secure w wersjach 9.x oraz 22.x

Uwagi

Podatność jest często łączona z CVE-2023-46805 (authentication bypass w tych samych produktach), co umożliwia nieuwierzytelniony RCE — potwierdza to publicznie dostępny exploit na PacketStorm. CISA potwierdziła aktywne exploitowanie w środowiskach produkcyjnych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Ivanti Connect Secure

    APP
    Ivanti
    22.122.222.322.422.522.69.09.1
  • Ivanti Policy Secure

    APP
    Ivanti
    22.122.222.322.422.522.69.09.1

CISA KEV — szczegółyi

Dostawcai
Ivanti
Produkti
Connect Secure and Policy Secure
Data dodania do KEVi
10 stycznia 2024
Termin remediation (USA)i
22 stycznia 2024(po terminie)
Ransomwarei
Aktywne kampanie ransomware używają tej podatności
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta lub zaprzestań korzystania z produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Ivanti Connect Secure (ICS, wcześniej znany jako Pulse Connect Secure) i Ivanti Policy Secure zawierają lukę command injection w komponentach webowych tych produktów, która pozwala uwierzytelnionym administratorom wysyłać specjalnie przygotowane żądania w celu wykonania kodu na zainfekowanych urządzeniach. Ta luka może być wykorzystana w połączeniu z CVE-2023-46805, problemem uwierzytelniającego bypassa.

tłumaczenie AI
Pokaż oryginał (EN)

Ivanti Connect Secure (ICS, formerly known as Pulse Connect Secure) and Ivanti Policy Secure contain a command injection vulnerability in the web components of these products, which can allow an authenticated administrator to send crafted requests to execute code on affected appliances. This vulnerability can be leveraged in conjunction with CVE-2023-46805, an authenticated bypass issue.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
☠️WYKORZYSTYWANE W RANSOMWARECISA DEADLINE: 22 stycznia 2024
CWE
Referencje

Powiązane podatności

CVE-2025-22457CRITICAL9.0⚠ KEVPL ✓ten sam produkt

Stack-based buffer overflow w Ivanti Connect Secure, Policy Secure i ZTA Gateways umożliwiający RCE

CVE-2025-0282CRITICAL9.0⚠ KEVPL ✓ten sam produkt

Stack-based buffer overflow RCE w Ivanti Connect Secure, Policy Secure i Neurons for ZTA

CVE-2021-22893CRITICAL10.0⚠ KEVten sam produkt

Pulse Connect Secure 9.0R3/9.1R1 and higher is vulnerable to an authentication bypass vulnerability exposed by...

CVE-2019-11510CRITICAL10.0⚠ KEVten sam produkt

In Pulse Secure Pulse Connect Secure (PCS) 8.2 before 8.2R12.1, 8.3 before 8.3R7.1, and 9.0 before 9.0R3.4, an...

CVE-2024-10644CRITICAL9.1PL ✓ten sam produkt

Code injection w Ivanti Connect Secure i Policy Secure — RCE