Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos Ivanti

Fecha de publicación 15/01/2025
Identificador
INCIBE-2025-0018
Importancia
5 - Crítica
Recursos Afectados
  • Versiones 6.4.6 y anteriores de Ivanti Avalanche.
  • Las versiones de Ivanti Application Control:
    • 2023.3 y anteriores;
    • 2024.1 y anteriores;
    • 2024.3 y anteriores;
  • Las versiones 2024.4.1 y anteriores de Ivanti Security Controls.
  • Las versiones de Ivanti Endpoint Manager:
    • Actualización de noviembre para 2024 y anteriores.
    • Actualización de noviembre para 2022 SU6 y anteriores.
Descripción

Investigadores de Trend Micro Zero Day Initiative, Horizon3.ai y Megacorp han reportado a Ivanti 20 vulnerabilidades, de las cuales 4 son de severidad crítica y 16 altas. La explotación de estas vulnerabilidades podrían permitir a un atacante escalar privilegios, ejecutar código remoto, acceder a información y omitir el proceso de autenticación en el dispositivo afectado, entre otras acciones.

Solución
  • Actualizar Ivanti Avalanche a la versión 6.4.7.
  • Actualizar a las versiones de Ivanti Application Control a:
    • 2024.3 HF1;
    • 2024.1 HF4;
    • 2023.3 HF3;
  • Actualizar Ivanti Endpoint Manager a las versiones:
    • Actualización de seguridad EPM 2024 de enero de 2025.
    • Actualización de seguridad EPM 2022 SU6 de enero de 2025.

Ivanti Security Controls llega al final de su vida útil el 31 de diciembre de 2025 y no está previsto que se corrija la vulnerabilidad, por lo que se recomienda a los usuarios a migrar a Ivanti Application Control.

Detalle

Vulnerabilidad de recorrido de ruta absoluta, cuya explotación podría permitir a un atacante remoto, no autenticado, filtrar información sensible.

Se han asignado los identificadores CVE-2024-10811, CVE-2024-13159, CVE-2024-13160 y CVE-2024-13161 para estas vulnerabilidades.

El resto de identificadores CVE de severidad alta pueden consultarse en las referencias.