Haavoittuvuus9/2025CVSS 9CVE-2025-22457 (Ulkoinen linkki)
Ivanti Connect Secure -tuotteen haavoittuvuutta (CVE-2025-22457) on käytetty hyväksi helmikuun päivityksiä vanhemmissa versioissa. Päivitykset tai vanhentuneen 9.x version käytöstä poistaminen on syytä tehdä nopealla aikataululla.
Haavoittuvuuden kohde
Haavoittuvuus koskee Ivanti Connect Secure, Invanti Policy Secure ja ZTA Gateway -tuotteita
Haavoittuvat versiot ovat:
- Ivanti Connect Secure versiota 22.7R2.5 ja vanhemmat versiot
- Pulse Connect Secure 9.x versioita.
- Ivanti Policy Secure 22.7R1.3 ja vanhemmat versiot
- ZTA Gateway 22.8R2 ja vanhemmat versiot
Haavoittuvuuden hyväksikäyttöä ei ole havaittu Ivanti Policy Secure tai ZTA Gateway -tuotteissa
Mistä on kysymys?
Ivanti Connect Secure ja Pulse Connect Secure - tuotteista on havaittu haavoittuvuuden CVE-2025-22457 hyväksikäyttöä. Haavoittuvuus voi mahdollistaa etänä suoritettavien komentojen suorittamiseen kohteessa.
Hyväksikäytetty haavoittuvuus on korjattu Connect Secure versioon 22.7R2.6 - versioon, joka on julkaistu helmikuussa.
Pulse Connect Secure tuotteeseen korjausta ei ole saatavilla, eikä kyseiseen tuotteeseen ole korjausta tulossa. Tästä syystä on erittäin tärkeää päivittää tuote ylläpidettyyn versioon ja poistaa vanha tuote käytöstä viipymättä
Suurin osa kotimaisista organisaatiosta on Kyberturvallisuuskeskuksen kartoituksen perusteella päivittänyt tuotteen uusimpiin versioihin. Kyberturvallisuuskeskus on kontaktoinut joitain organisaatioita vanhentuneen version vuoksi.
Mitä voin tehdä?
Päivitä haavoittuvalla ohjelmistoversiolla käytössä olevat Ivanti Connect Secure -laitteet viipymättä uusimpaan valmistajan tarjoamaan ohjelmistoversioon. Korjattu versio 22.7R2.6 on julkaistu jo helmikuussa.
Vanhentuneet 9.x versiot on syytä poistaa käytöstä viipymättä.
Asenna päivitykset Ivanti Policy Secure ja ZTA Gateway -tuotteisiin viipymättä, heti kun päivitykset julkaistaan.
Lisätietoja valmistajan tiedotteissa: