Skip to main content
Shaping Europe’s digital future
News article | Väljaanne

Ühisavaldus Ivanti turvalise ja Ivanti poliitika turvalise haavatavuse kohta

Euroopa Komisjon, ENISA, Euroopa Liidu Küberturvalisuse Amet, CERT-EU, Europol ja ELi riiklike küberturbe intsidentide lahendamise rühmade võrgustik (CSIRTide võrgustik) on tähelepanelikult jälginud nõrkuste aktiivset ärakasutamist Ivanti Connect Secure ja Ivanti Policy Secure Gateway toodetes, kommertslikes virtuaalsetes privaatvõrgu lahendustes, mida varem tuntakse nime all Pulse Connect Secure.

Pärast kahe nõrkuse esialgset avalikustamist jaanuari alguses avalikustati 31. jaanuaril 2024 veel kaks nõrkust, mis mõjutavad Ivanti Connect Secure ja Ivanti poliitika turvalise lüüsi toodete kõiki toetatud versioone ning võimaldavad ründajatel anda süsteemile käske. Algselt avalikustatud nõrkuste laiemat ärakasutamist täheldati juba jaanuari keskel. 

Kuna olukord on arenev, soovitame tungivalt kõigil organisatsioonidel korrapäraselt kontrollida CSIRTide võrgustiku liikmete ja CERT-EU suuniseid viimase hindamise ja nõustamise kohta. Üksikasjalike juhiste saamiseks selle kohta, kuidas tehas soovitatud lähtestada, võivad organisatsioonid järgida ka üksikasjalikke müüja juhiseid.

On väga oluline, et organisatsioonid reageeriksid asjakohaselt uusimatele arengutele, et jätkata oma elutähtsat äritegevust.

CSIRTide võrgustiku liikmete avaldatud värskeimad nõuanded on kättesaadavad nende asjaomastes ametlikes sidekanalites. Organisatsioonid võivad nõuandekoguna kasutada ka CERT-EU suuniseid, mida ENISA haldab.

ENISA ja kõik asjaomased ELi osalejad jätkavad selle ohu jälgimist, et aidata kaasa üldisele olukorrateadlikkusele liidu tasandil.

ELi poliitika

Lisaks peaksid organisatsioonid olema teadlikud sellest, et pärast ELi küberkerksuse õigusakti jõustumist nõutakse riist- ja tarkvaratoodete, sealhulgas VPN-lahenduste tootjatelt, et nad järgiksid selliste toodete kogu olelusringi jooksul sisseprojekteeritud turbe põhimõtteid. See hõlmab nõrkuste viivitamatut parandamist. VPN-lahenduste kriitilisuse tõttu kohaldatakse nende suhtes rangeid vastavushindamisnõudeid. Lisateave ELi küberturvalisuse strateegia ja küberturvalisuse poliitika kohta.

Vahendid meetmete leevendamiseks: