Skip to main content
Shaping Europe’s digital future
News article | Julkaisu

Yhteinen julkilausuma Ivanti Connect Secure and Ivanti Policy Secure Vulnerabilities

Euroopan komissio, ENISA, EU:n kyberturvallisuusvirasto, CERT-EU, Europol ja EU:n kansallisten tietoturvaloukkauksiin reagoivien ryhmien verkosto (CSIRT-verkosto) ovat seuranneet tiiviisti haavoittuvuuksien aktiivista hyödyntämistä Ivanti Connect Secure and Ivanti Policy Secure Gateway -palveluissa ja VPN-ratkaisuissa, jotka aiemmin tunnettiin nimellä Pulse Connect Secure.

Joint Statement on Ivanti Connect Secure and Ivanti Policy Secure Vulnerabilities

Sen jälkeen, kun kaksi haavoittuvuutta oli alun perin paljastettu tammikuun alussa, 31. tammikuuta 2024 paljastui kaksi uutta haavoittuvuutta, jotka vaikuttavat kaikkiin Ivanti Connect Secure- ja Ivanti Policy Secure Gateway -tuotteiden tuettuihin versioihin ja antavat hyökkääjille mahdollisuuden käyttää käskyjä järjestelmässä. Alun perin paljastuneiden haavoittuvuuksien laajempaa hyödyntämistä oli havaittu jo tammikuun puolivälissä. 

Koska tilanne on kehittymässä, suosittelemme painokkaasti, että kaikki organisaatiot tarkistavat säännöllisesti CSIRT-verkoston jäsenten ja CERT-EU:n antamat ohjeet viimeisimpiä arviointeja ja neuvoja varten. Yksityiskohtaiset ohjeet siitä, miten tehtaan uudelleenasettaminen saatetaan päätökseen, organisaatiot voivat myös noudattaa yksityiskohtaisia myyjän ohjeita.

On ratkaisevan tärkeää, että organisaatiot reagoivat asianmukaisesti viimeaikaiseen kehitykseen, jotta ne voivat aloittaa uudelleen kriittisen liiketoimintansa.

CSIRT-verkoston jäsenten julkaisemat viimeisimmät neuvonantajat löytyvät niiden virallisista viestintäkanavista. Organisaatiot voivat myös käyttää neuvoa-antavana kokoelmana ohjeita, joita ENISA on laatinut CERT -EU:lta.

ENISA ja kaikki asiaankuuluvat EU:n toimijat jatkavat tämän uhan seurantaa edistääkseen yleistä tilannetietoisuutta unionin tasolla.

EU:n politiikka

Organisaatioiden olisi myös oltava tietoisia siitä, että kun EU:n kyberresilienssisäädös on tullut voimaan, laite- ja ohjelmistotuotteiden, myös VPN-ratkaisujen, valmistajia vaaditaan noudattamaan sisäänrakennetun turvallisuuden periaatteita tällaisten tuotteiden koko elinkaaren ajan. Tähän sisältyy haavoittuvuuksien korjaaminen viipymättä. VPN-ratkaisuihin sovelletaan kriittisyyden vuoksi tiukkoja vaatimustenmukaisuuden arviointivaatimuksia. Lue lisää EU:n kyberturvallisuusstrategiasta ja kyberturvallisuuspolitiikasta.

Resurssit toimien lieventämiseen: