Skip to main content
Shaping Europe’s digital future
News article | Publikācija

Kopīgs paziņojums “Ivanti Connect Secure and Ivanti Policy Secure Vulnerability”

Eiropas Komisija, ENISA, ES Kiberdrošības aģentūra, CERT-EU, Eiropols un ES valstu datordrošības incidentu reaģēšanas vienību tīkls (CSIRT tīkls) ir cieši sekojuši ievainojamību izmantošanai Ivanti Connect Secure un Ivanti Policy Secure Gateway produktos, komerciālā virtuālā privātā tīkla (VPN) risinājumos, kas iepriekš pazīstami kā Pulse Connect Secure.

Pēc tam, kad janvāra sākumā sākotnēji tika atklātas divas ievainojamības, 2024. gada 31. janvārī tika atklātas vēl divas ievainojamības, kas ietekmē visas atbalstītās Ivanti Connect Secure un Ivanti Policy Secure Gateway produktu versijas un ļāva uzbrucējiem vadīt komandas sistēmā. Sākotnēji atklāto ievainojamību plašāka izmantošana tika novērota jau janvāra vidū. 

Tā kā šī ir jauna situācija, mēs stingri iesakām visām organizācijām regulāri pārbaudīt CSIRT tīkla dalībnieku un CERT-EU sniegtos norādījumus attiecībā uz jaunāko novērtējumu un konsultācijām. Lai saņemtu detalizētus norādījumus par to, kā pabeigt ieteiktās rūpnīcas atiestatīšanu, organizācijas var ievērot arī sīki izstrādātos pārdevēja norādījumus.

Ir ļoti svarīgi, lai organizācijas pienācīgi reaģētu uz jaunākajām norisēm, lai atsāktu savu kritiski svarīgo uzņēmējdarbību.

Jaunākie CSIRT tīkla dalībnieku publicētie padomdevēji ir atrodami to attiecīgajos oficiālajos saziņas kanālos. Organizācijas kā konsultatīvu kolekciju var atsaukties arī uz norādījumiem, ko sniegusi CERT-EU, kuru vada ENISA.

ENISA un visi attiecīgie ES dalībnieki turpinās uzraudzīt šo apdraudējumu, lai veicinātu vispārējo situācijas apzināšanos Savienības līmenī.

Eiropas Savienības politika

Organizācijām būtu arī jāapzinās, ka ES Kibernoturības akts (CRA), tiklīdz tas būs stājies spēkā, noteiks prasību aparatūras un programmatūras produktu, tostarp VPN risinājumu, ražotājiem ievērot integrētas drošības principus visā šādu produktu aprites ciklā. Tas ietver ievainojamību tūlītēju novēršanu. Ņemot vērā VPN risinājumu kritiskumu, uz tiem attieksies stingras atbilstības novērtēšanas prasības. Varat arī uzzināt vairāk par ES kiberdrošības stratēģiju un kiberdrošības politiku.

Resursi seku mazināšanas darbībām: