Ivanti hat Kunden erneut auf eine Sicherheitslücke in seinen Connect Secure-, Policy Secure- und ZTA-Gateway-Geräten hingewiesen, die es Angreifern ermöglichen könnte, die Authentifizierung zu umgehen. Das Problem, das als CVE-2024-22024 verfolgt wird, wird auf dem CVSS-Score-System mit 8,3 von 10 bewertet. Das Unternehmen teilte in einer Beratungsmitteilung mit: „Eine XML-Externe-Entity- oder XXE-Sicherheitslücke in der SAML-Komponente von Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) und ZTA-Gateways, die es einem Angreifer ermöglicht, auf bestimmte eingeschränkte Ressourcen ohne Authentifizierung zuzugreifen.“ Das Unternehmen gab an, die Schwachstelle während einer internen Überprüfung im Rahmen seiner laufenden Untersuchungen zu mehreren Sicherheitsschwachstellen in den Produkten entdeckt zu haben, die seit Beginn des Jahres bekannt geworden sind, darunter CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 und CVE-2024-21893. CVE-2024-22024 betrifft folgende Versionen der Produkte – Ivanti Connect Secure (Versionen 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 und 22.5R1.1), Ivanti Policy Secure (Version 22.5R1.1) und ZTA (Version 22.6R1.3). Patches für den Fehler sind in den Versionen Connect Secure 9.1R14.5, 9.1R17.3, 9.1R18.4, 22.4R2.3, 22.5R1.2, 22.5R2.3 und 22.6R2.2; Policy Secure 9.1R17.3, 9.1R18.4 und 22.5R1.2; und ZTA 22.5R1.6, 22.6R1.5 und 22.6R1.7 verfügbar. Ivanti sagte, es gebe keine Beweise für eine aktive Ausnutzung der Schwachstelle, aber angesichts des weit verbreiteten Missbrauchs von CVE-2023-46805, CVE-2024-21887 und CVE-2024-21893 ist es wichtig, dass Benutzer schnellstmöglich die neuesten Korrekturen anwenden.