Diverse instanties waarschuwen dat twee zeroday exploits in Ivanti Connect Secure VPN en Ivanti Policy Secure Gateways actief worden misbruikt. Op dit moment is er nog geen patch beschikbaar, maar afnemers kunnen wel mitigerende maatregelen nemen. De adviesorganen raden instanties aan om dit zo snel mogelijk te doen.
Dat meldt Z-CERT in een persbericht, evenals het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC).
Zeroday exploits maken het mogelijk om authenticatie te omzeilen
Ivanti Connect Secure VPN, dat vroeger Pulse Secure heette, is een Virtual Private Network of VPN waarmee gebruikers van afstand verbinding kunnen maken met het bedrijfsnetwerk van hun werkgever. Ivanti Policy Secure Gateways is een zogeheten Network Access Control of NAC-tool om netwerken, applicaties en apparaten te beschermen tegen ongeautoriseerd gebruik.
Voor beide toepassingen zijn twee zeroday exploits gevonden. Het gaat om CVE-2023-46805 en CVE-2024-21887. Door de eerste kwetsbaarheid is het voor hackers mogelijk om op afstand authenticatie te omzeilen. De tweede exploit maakt het mogelijk om willekeurige code uit te voeren, onder meer om root-rechten te verkrijgen. Beide kwetsbaarheden zijn volgens het NCSC in combinatie misbruikt. Het DTC waarschuwt eveneens voor de kwetsbaarheden.
Updates worden volgende week uitgerold
Volgens cybersecuritybureau Volexity worden de exploits al sinds december vorig jaar actief misbruikt. Meer dan 1.700 netwerken en apparaten wereldwijd zouden hierdoor zijn gecompromitteerd. Sinds beveiligingsonderzoekers over de zeroday exploits schreven, is het misbruik ervan sterk toegenomen.
De exploits hebben een CVSS-score gekregen van respectievelijk 8.2 en 9.1. ‘CVSS’ staat voor Common Vulnerability Scoring System en geeft de ernst van een kwetsbaarheid aan. Hoe hoger dit getal, des te groter het risico is dat bedrijven lopen. De inschaling van het beveiligingsadvies van het NCSC voor deze exploits is high/high.
Beide kwetsbaarheden zitten in versies 9.x en 22.x van Ivanti Connect Secure VPN en Ivanti Policy Secure Gateways. Er is nog geen update beschikbaar die de kwetsbaarheden verhelpt. Ivanti belooft deze in de week van 22 januari uit te rollen. Het technologiebedrijf heeft wel mitigerende maatregelen bekend gemaakt. Net als het NCSC, DTC en Ivanti raadt Z-CERT zorginstanties aan om netwerken te controleren op misbruik en mitigerende maatregelen toe te passen.
