Skip to main content
Plasmare il futuro digitale dell'Europa
News article | Pubblicazione

Dichiarazione comune sulle vulnerabilità sicure "Ivanti Connect Secure" e "Ivanti policy Secure"

La Commissione europea, l'ENISA, l'Agenzia dell'UE per la cibersicurezza, CERT-UE, Europol e la rete dei gruppi nazionali di risposta agli incidenti per la sicurezza informatica dell'UE (rete di CSIRT) hanno seguito da vicino lo sfruttamento attivo delle vulnerabilità nei prodotti Ivanti Connect Secure e Ivanti Policy Secure Gateway, soluzioni commerciali virtuali private (VPN) precedentemente note come Pulse Connect Secure.

Joint Statement on Ivanti Connect Secure and Ivanti Policy Secure Vulnerabilities

A seguito della divulgazione iniziale di due vulnerabilità all'inizio di gennaio, il 31 gennaio 2024 sono state divulgate altre due vulnerabilità, che incidono su tutte le versioni supportate dei prodotti Ivanti Connect Secure e Ivanti Policy Secure Gateway e consentono agli aggressori di gestire i comandi sul sistema. Già a metà gennaio era stato osservato un più ampio sfruttamento delle vulnerabilità inizialmente divulgate. 

Poiché si tratta di una situazione in evoluzione, raccomandiamo vivamente a tutte le organizzazioni di verificare periodicamente gli orientamenti forniti dai membri della rete di CSIRT e dal CERT-UE per la valutazione e la consulenza più recenti. Per istruzioni dettagliate su come completare la reimpostazione della fabbrica consigliata, le organizzazioni possono anche seguire le istruzioni dettagliate del venditore.

È fondamentale che le organizzazioni rispondano adeguatamente agli ultimi sviluppi al fine di riprendere le loro attività commerciali essenziali.

Gli ultimi consigli pubblicati dai membri della rete di CSIRT sono reperibili nei rispettivi canali di comunicazione ufficiali. Le organizzazioni possono anche fare riferimento agli orientamenti forniti dal CERT-UE integrati dall'ENISA come raccolta di consulenza.

L'ENISA e tutti gli attori pertinenti dell'UE continueranno a monitorare questa minaccia per contribuire alla conoscenza situazionale generale a livello dell'Unione.

Politica UE

Le organizzazioni dovrebbero inoltre essere consapevoli del fatto che la legge dell'UE sulla ciberresilienza (CRA), una volta in vigore, imporrà ai fabbricanti di prodotti hardware e software, comprese le soluzioni VPN, di seguire i principi di sicurezza fin dalla progettazione durante l'intero ciclo di vita di tali prodotti. Ciò comprende la riparazione delle vulnerabilità senza indugio. Data la loro criticità, le soluzioni VPN saranno soggette a rigorosi requisiti di valutazione della conformità. Per saperne di più sulla strategia dell'UE in materia di cibersicurezza e sulle politiche in materia di cibersicurezza.

Risorse per le azioni di mitigazione: