Inyección de código en Ivanti Connect Secure antes de la versión 22.7R2.4 e Ivanti Policy Secure antes de la versión 22.7R1.3 permite a un atacante autenticado remoto con privilegios de administrador lograr la ejecución remota de código.

Esta vulnerabilidad representa un riesgo significativo, ya que permite a un atacante con acceso autenticado y privilegios administrativos ejecutar código arbitrario en el servidor Ivanti Connect Secure. Esto podría resultar en la toma de control completa del sistema, el robo de información confidencial, la modificación de datos críticos o el uso del servidor como punto de apoyo para ataques a otros sistemas dentro de la red. La capacidad de ejecución remota de código otorga al atacante un control casi ilimitado sobre el entorno afectado, similar a la gravedad de vulnerabilidades como Log4Shell, donde la ejecución remota de código puede tener consecuencias devastadoras.

Organizations heavily reliant on Ivanti Connect Secure for remote access, particularly those with legacy deployments of versions prior to 22.7R2.4, are at significant risk. Shared hosting environments where multiple tenants share the same Connect Secure instance are also particularly vulnerable, as a compromise of one tenant could potentially impact others. Furthermore, organizations with weak password policies or inadequate multi-factor authentication for administrative accounts are more susceptible to exploitation.

• linux / server: Monitor Ivanti Connect Secure logs (typically located in /opt/ivanti/connectsecure/logs) for unusual command execution attempts or suspicious network activity. Use journalctl -u connectsecure to filter for error messages related to code injection.

journalctl -u connectsecure | grep -i "code injection"

• ivanti: Review Ivanti Connect Secure audit logs for administrative actions that deviate from normal patterns. Check for unexpected file modifications or process creations. • generic web: Monitor access logs for requests containing suspicious payloads or unusual characters that could indicate code injection attempts. Examine response headers for signs of code execution. • windows / supply-chain: (Less likely, but possible if Connect Secure runs on Windows) Monitor PowerShell execution logs for suspicious commands related to Connect Secure processes. Use Windows Defender to scan for malicious files associated with the vulnerability.

1. 2025-02-11Disclosure

   disclosure

2. 2025-02-11Patch

   patch

1. Reservado2024-10-31
2. Publicada2025-02-11
3. Modificada2026-02-26
4. EPSS actualizado2026-04-02

La mitigación principal para CVE-2024-10644 es actualizar a la versión 22.7R2.4 o superior de Ivanti Connect Secure. Si la actualización inmediata no es posible, considere implementar medidas de seguridad adicionales como la restricción de acceso administrativo, la implementación de un firewall de aplicaciones web (WAF) para filtrar tráfico malicioso y la monitorización exhaustiva de los registros del sistema en busca de actividades sospechosas. Revise las reglas del WAF para bloquear intentos de inyección de código. Después de la actualización, verifique la integridad del sistema y la configuración de seguridad para confirmar que la vulnerabilidad ha sido resuelta.