Foto: DTC
Ivanti waarschuwt voor ernstige kwetsbaarheden die actief worden misbruikt in Ivanti Connect Secure en Ivanti Policy Secure gateway. De kwetsbaarheden, aangeduid als CVE-2023-46805 en CVE-2024-21887, worden in combinatie misbruikt. Dit maakt het mogelijk om op afstand zonder inloggegevens willekeurige code uit te voeren met administrator rechten. Het Nationaal Cyber Security Centrum (NCSC) duidt de kwetsbaarheid als ‘High/High’. Dit betekent dat er een grote kans is dat deze kwetsbaarheid misbruikt wordt en dat de schade groot kan zijn.
Wat is het risico?
De kwetsbaarheden maken het mogelijk om op afstand willekeurige code uit te voeren met administrator rechten. Hiermee kan een kwaadwillende kwetsbare systemen volledig overnemen en vandaaruit verspreiden naar andere systemen. Deze kwetsbaarheden kunnen bijvoorbeeld misbruikt worden voor het stelen van (gevoelige) informatie en het uitrollen van ransomware.
Ivanti Connect Secure is een VPN oplossing die voorheen bekend stond als Pulse Secure. Dit soort systemen zijn vaak direct verbonden met het internet. Dit maakt het voor een kwaadwillende makkelijk om op afstand deze servers te vinden en de kwetsbaarheid te misbruiken. Zie ook onze berichtgeving over eerdere kwetsbaarheden van Pulse Secure.
Scaninformatie van cybersecurityonderzoeksbureau Shadowserver Foundation geeft aan dat er in Nederland ruim 500 Pulse Secure systemen vindbaar zijn.
Welke versies zijn kwetsbaar?
Ivanti stelt dat alle ondersteunde versies van Connect Secure (9.x en 22.x) en Policy Secure kwetsbaar zijn. Ivanti heeft geen onderzoek gedaan of niet-ondersteunde versies ook kwetsbaar zijn.
Wat kun je doen?
Op dit moment zijn er nog geen beveiligingsupdates beschikbaar. Ivanti heeft alternatieve maatregelen beschikbaar gesteld om misbruik van de kwetsbaarheden te voorkomen.
Het DTC adviseert om de alternatieve maateregelen zo spoedig mogelijk uit te (laten) voeren.
