S’ha detectat una vulnerabilitat greu en diversos productes de l’empresa Ivanti, que podria permetre a un atacant remot autenticat segrestar connexions HTML5 existents.
Anàlisi
La vulnerabilitat CVE‑2025‑55145 ha sigut publicada per INCIBE‑CERT el 9 de setembre de 2025.
- Es tracta d’una fallada d’autorització (“missing authorization”) en versions específiques dels productes Ivanti: Ivanti Connect Secure (abans de la versió 22.7R2.9 o 22.8R2), Ivanti Policy Secure (abans de la 22.7R1.6), Ivanti ZTA Gateway (abans de 2.8R2.3‑723) i Ivanti Neurons for Secure Access (abans de la 22.8R1.4).
- La fallada permet que un atacant remot que ja té credencials d’autenticació (autenticat) puga segrestar connexions HTML5 existents. És a dir, encara que no s’aconseguisca entrar sense autenticació, una vegada dins podria interceptar, modificar o comprometre sessions que ja estiguen actives.
- En la informació disponible, s’indica que la correcció ja va ser desplegada el 2 d’agost de 2025 per a eixes versions que corregixen la vulnerabilitat.
- La puntuació CVSS v3.1 assignada és 8.90 (Alta gravetat), amb els següents paràmetres destacats: accés remot a través de xarxa, baixa complexitat d’atac, privilegis baixos requerits, interacció de l’usuari necessària, confidencialitat i integritat fortament compromeses, disponibilitat menys afectada.
Recursos afectats
Els productes Ivanti afectats són els següents, en les seues versions no apedaçades:
- Ivanti Connect Secure (versions anteriors a 22.7R2.9 o 22.8R2)
- Ivanti Policy Secure (versions anteriors a 22.7R1.6)
- Ivanti ZTA Gateway (versions anteriors a 2.8R2.3‑723)
- Ivanti Neurons for Secure Access (versions anteriors a 22.8R1.4)
Recomanacions
Per a reduir els riscos i protegir els sistemes s’aconsella el següent:
- Actualitzar immediatament tots els productes afectats a les versions que corregixen la vulnerabilitat:
- Ivanti Connect Secure ≥ 22.7R2.9 o ≥ 22.8R2
- Ivanti Policy Secure ≥ 22.7R1.6
- Ivanti ZTA Gateway ≥ 2.8R2.3‑723
- Ivanti Neurons for Secure Access ≥ 22.8R1.4
- Si no és possible actualitzar immediatament, limitar l’accés a les parts del sistema que utilitzen connexions HTML5, especialment des de xarxes no de confiança.
- Revisar els diaris (logs) de connexió per a detectar activitat inusual en sessions HTML5 existents, que puguen indicar intents de segrest o hijacking.
- Aplicar polítiques de principi de menor privilegi, perquè els usuaris autenticats tinguen els permisos mínims necessaris.
- Actualitzar immediatament tots els productes afectats a les versions que corregixen la vulnerabilitat:
Referències
- https://forums.ivanti.com/s/article/september-security-advisory-ivanti-connect-secure-policy-secure-zta-gateways-and-neurons-for-secure-access-multiple-cves?language=en_us
- https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2025-55145Palo Alto Networks confirms breach: Hackers access Salesforce data via Drift