Skip to main content
Shaping Europe’s digital future
News article | Publikace

Společné prohlášení o bezpečných zranitelnostech Ivanti Connect a Ivanti Policy Secure Vulnerability (Ivanti Connect Secure Vulnerability)

Evropská komise, agentura ENISA, Agentura EU pro kybernetickou bezpečnost, CERT-EU, Europol a síť vnitrostátních týmů EU pro reakci na počítačové bezpečnostní incidenty (síť CSIRT) pozorně sledují aktivní využívání zranitelných míst v produktech zabezpečené brány Ivanti Connect Secure a Ivanti Policy Secure Gateway, komerčních řešení virtuálních soukromých sítí (VPN), dříve známých jako Pulse Connect Secure.

Po prvotním zveřejnění dvou slabých míst na začátku ledna byly dne 31. ledna 2024 zveřejněny další dvě zranitelnosti, které mají dopad na všechny podporované verze produktů Ivanti Connect Secure Gateway a Ivanti Policy Secure Gateway a umožňují útočníkům vydávat příkazy v systému. Širší využívání původně zveřejněných zranitelných míst bylo zaznamenáno již v polovině ledna. 

Vzhledem k tomu, že se jedná o vyvíjející se situaci, důrazně doporučujeme všem organizacím, aby pravidelně kontrolovaly pokyny poskytované členy sítě CSIRT a skupinou CERT-EU pro účely nejnovějšího posouzení a poradenství. Pokud jde o podrobné pokyny, jak dokončit doporučené nové nastavení továrny, mohou se organizace rovněž řídit podrobnými pokyny prodejce.

Je zásadní, aby organizace odpovídajícím způsobem reagovaly na nejnovější vývoj a obnovily tak svou kritickou podnikatelskou činnost.

Nejnovější poradenství zveřejněné členy sítě CSIRT lze nalézt v jejich příslušných oficiálních komunikačních kanálech. Organizace mohou rovněž odkazovat na pokyny vydané centrem CERT-EU, které spravuje agentura ENISA, jako na poradní soubor.

Agentura ENISA a všichni příslušní aktéři EU budou tuto hrozbu i nadále sledovat, aby přispívali k celkové informovanosti o situaci na úrovni Unie.

Politika Evropské unie

Organizace by si měly být dále vědomy toho, že jakmile vstoupí v platnost akt EU o kybernetické odolnosti, bude od výrobců hardwarových a softwarových produktů, včetně řešení VPN, vyžadovat, aby se po celou dobu životního cyklu těchto produktů řídili zásadami bezpečnosti již od návrhu. To zahrnuje bezodkladnou nápravu zranitelných míst. Vzhledem ke své kritičnosti budou řešení VPN podléhat přísným požadavkům na posuzování shody. Další informace o strategii kybernetické bezpečnosti EU a politikách kybernetické bezpečnosti EU.

Zdroje na zmírňující opatření: