ITSM的Ivanti Neurons受到CVSS9.8认证绕过缺陷,允许完全管理员访问

阅读量40455

发布时间 : 2025-05-14 15:30:18

x
译文声明

本文是翻译文章,文章原作者 Ddos,文章来源:securityonline

原文地址:https://securityonline.info/ivanti-neurons-for-itsm-hit-by-cvss-9-8-authentication-bypass-flaw-enabling-full-admin-access/

译文仅供参考,具体内容表达以及含义原文为准。

CVE-2024-29847 & CVE-2024-8190 Ivanti ITSM,身份验证绕过

Ivanti 为其本地 Neurons for ITSM 平台发布了一个关键安全补丁,解决了一个严重漏洞 CVE-2025-22462,该漏洞可能允许未经身份验证的攻击者获得管理访问权限。该漏洞的 CVSS 基本分数为 9.8,对未实施建议的网络限制或安全配置的客户构成严重风险。

根据系统配置,成功利用此漏洞可能允许未经身份验证的远程攻击者获得对系统的管理访问权限,”Ivanti 在公告中警告说。

该漏洞存在于身份验证绕过缺陷中,该缺陷会影响 Ivanti Neurons for ITSM 本地部署。此问题会影响 2025 年 5 月版本 2023.4、2024.2 和 2024.3 安全补丁之前的所有实例。

身份验证绕过…允许未经身份验证的远程攻击者获得对系统的管理访问权限,“公告指出。

虽然在披露时未观察到漏洞利用,但风险级别在很大程度上取决于系统配置。Ivanti 为满足以下条件的客户引入了 6.9 分(中等)的环境评分:

  • 限制 IIS 对内部网络和特定 IP 的访问
  • 将解决方案放置在 DMZ 中
  • 仅限高权限内部用户登录

遵循 Ivanti 关于保护 IIS 网站和限制访问的指南的客户…降低了对环境的风险,“Ivanti 解释道。

以下版本受到影响:

  • Ivanti Neurons for ITSM(仅限本地):版本 2023.4、2024.2 和 2024.3(2025 年 5 月补丁之前)

可用的修补版本:

  • 2023.4 2025 年 5 月安全补丁
  • 2024.2 2025 年 5 月安全补丁
  • 2024.3 2025 年 5 月安全补丁

修补程序下载和文档可通过 Ivanti 的许可证系统获得。

如果无法立即进行修补,Ivanti 建议:

  • 使用 ACL 限制 IIS 访问以仅允许受信任的 IP
  • 确保通过 DMZ 路由外部登录访问
  • 遵循 Ivanti 部署和 IIS 强化文档中的安全部署指南
本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+14赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66