Actief misbruik van kwetsbaarheid in Ivanti Connect Secure

UPDATE

Voor de kwetsbaarheid met kenmerk CVE-2024-21893 wordt Proof-of-Concept-code (PoC) gedeeld om de kwetsbaarheid aan te kunnen tonen. Het advies is om de beschikbare beveiligingsupdates zo spoedig mogelijk te (laten) installeren. Houd daarnaast de berichtgeving van Ivanti in de gaten.

Update - Beveiligingsupdates beschikbaar, eerder gegeven maatregelen mogelijk te omzeilen

31 januari 2024

Ivanti heeft aanvullende informatie gedeeld over de kwetsbaarheden en stelt updates beschikbaar voor diverse versies (versies 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1 en ZTA versie 22.6R1.3) van Ivanti Connect Secure. Daarnaast stelt het Amerikaanse CISA dat de eerder door Ivanti aangeboden mitigerende maatregelen en detectiemethoden mogelijk niet afdoende zijn.

Ivanti maakt ook melding van twee nieuwe kwetsbaarheden met kenmerken CVE-2024-21888 en CVE-2024-21893. Voor deze kwetsbaarheid heeft Ivanti mitigerende maatregelen beschikbaar gesteld. Als de patch is doorgevoerd, is het niet nodig om deze mitigerende maatregelen toe te passen.

Het advies is om de beschikbare beveiligingsupdates zo spoedig mogelijk te (laten) installeren. Neem hierbij ook de extra toelichting mee vanuit de advisory van Ivanti waarin onder andere een factory reset wordt aangeraden.

Houd de berichtgeving van Ivanti in de gaten voor beveiligingsupdates van overige versies van Connect Secure.

Update - Grootschalig misbruik en detectietool

17 januari 2024

Onderzoekers hebben een exploit gepubliceerd waarmee de kwetsbaarheden met het kenmerk CVE-2023-46805 en mogelijk ook CVE-2024-21887 misbruikt kunnen worden. Daarnaast is er op grote schaal actief misbruik waargenomen volgens securitybedrijf Volexity.

De eerste updates verwacht Ivanti in de week van 22 januari beschikbaar te stellen. Ivanti adviseert om snel beschermende maatregelen uit te voeren. Er is een externe detectietool beschikbaar om de aanwezigheid van malware te kunnen ontdekken.

Oorspronkelijk bericht 11 januari 2024

Ivanti waarschuwt voor ernstige kwetsbaarheden die actief worden misbruikt in Ivanti Connect Secure en Ivanti Policy Secure gateway. De kwetsbaarheden, aangeduid als CVE-2023-46805 en CVE-2024-21887, worden in combinatie misbruikt. Dit maakt het mogelijk om op afstand zonder inloggegevens willekeurige code uit te voeren met administrator rechten. Het Nationaal Cyber Security Centrum (NCSC) duidt de kwetsbaarheid als 'High/High'. Dit betekent dat er een grote kans is dat deze kwetsbaarheid misbruikt wordt en dat de schade groot kan zijn.

Wat is het risico?

De kwetsbaarheden maken het mogelijk om op afstand willekeurige code uit te voeren met administrator rechten. Hiermee kan een kwaadwillende kwetsbare systemen volledig overnemen en van daaruit verspreiden naar andere systemen. Deze kwetsbaarheden kunnen bijvoorbeeld misbruikt worden voor het stelen van (gevoelige) informatie en het uitrollen van ransomware.

Ivanti Connect Secure is een VPN-oplossing die voorheen bekend stond als Pulse Secure. Dit soort systemen zijn vaak direct verbonden met het internet. Dit maakt het voor een kwaadwillende makkelijk om op afstand deze servers te vinden en de kwetsbaarheid te misbruiken. Zie ook onze berichtgeving over eerdere kwetsbaarheden van Pulse Secure.

Scaninformatie van cybersecurityonderzoeksbureau Shadowserver Foundation geeft aan dat er in Nederland ruim 500 Pulse Secure systemen vindbaar zijn.

Welke versies zijn kwetsbaar?

Ivanti stelt dat alle ondersteunde versies van Connect Secure (9.x en 22.x) en Policy Secure kwetsbaar zijn. Ivanti heeft geen onderzoek gedaan of niet-ondersteunde versies ook kwetsbaar zijn.

Wat kun je doen?

Op dit moment zijn er nog geen beveiligingsupdates beschikbaar. Ivanti heeft alternatieve maatregelen beschikbaar gesteld om misbruik van de kwetsbaarheden te voorkomen.

Het DTC adviseert om de alternatieve maateregelen zo snel mogelijk uit te (laten) voeren. Daarnaast is het belangrijk om de berichtgeving van Ivanti in de gaten te houden voor beveiligingsupdates die vanaf 22 januari 2024 worden verwacht.

Als je niet zeker weet of je gebruik maakt van de genoemde Ivanti-producten of het IT-beheer hebt uitbesteed, neem dan contact op met je IT-dienstverlener. Leg daar het dringende verzoek neer om de noodzakelijke maatregelen door te voeren.