Risques
- Exécution de code arbitraire à distance
- Élévation de privilèges
Systèmes affectés
- Connect Secure (ICS) versions antérieures à 22.7R2.5
- Neurons for ZTA gateways versions antérieures à 22.7R2.5.
- Policy Secure (IPS) toutes versions.
L'éditeur indique que les correctifs pour Policy Secure et Neurons for ZTA gateways seront disponibles le 21 janvier. Les versions 9.x de Connect Secure ne bénéficieront pas de correctifs de sécurité pour la CVE-2025-0283 (la vulnérabilité CVE-2025-0282 n'affecte pas cette branche).
Veuillez vous référer à l'alerte CERTFR-2025-ALE-001 pour la procédure de mise à jour de ces équipements.
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Ivanti. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et une élévation de privilèges.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Ivanti Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-0282-CVE-2025-0283 du 08 janvier 2025 https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-0282-CVE-2025-0283
- Bulletin de sécurité Ivanti security-update-ivanti-connect-secure-policy-secure-and-neurons-for-zta-gateways du 08 janvier 2025 https://www.ivanti.com/blog/security-update-ivanti-connect-secure-policy-secure-and-neurons-for-zta-gateways
- Alerte CERTFR-2025-ALE-001 du 09 janvier 2025 https://www.cert.ssi.gouv.fr/alerte/CERTFR-2025-ALE-001/
- Référence CVE CVE-2025-0282 https://www.cve.org/CVERecord?id=CVE-2025-0282
- Référence CVE CVE-2025-0283 https://www.cve.org/CVERecord?id=CVE-2025-0283
