Door de staat gesteunde hackers richten zich op nieuwe Ivanti VPN Zero-Day

Penka Hristovska
Gepubliceerd op: 12 januari 2024

Het Amerikaanse softwarebedrijf Ivanti heeft erkend dat hackers twee kritieke kwetsbaarheden misbruiken in zijn populaire VPN-product dat veel wordt gebruikt door overheden en bedrijven.

De twee kwetsbaarheden, geïdentificeerd als CVE-2-2023 en CVE-46805-2024, werden ontdekt in de Ivanti Connect Secure-software en Ivanti Policy Secure Gateways. Dit product, voorheen bekend als Pulse Connect Secure, is een VPN-oplossing waarmee gebruikers via internet op afstand toegang kunnen krijgen tot bedrijfsbronnen.

Het bedrijf heeft voorlopig maatregelen getroffen om deze problemen te verhelpen, wat aangeeft dat er later deze maand patches voor deze problemen beschikbaar zullen zijn. Meer specifiek zei Ivanti dat de patches in de week van 22 januari, tot half februari, zullen worden uitgebracht.

“Toen we hoorden van de kwetsbaarheid, hebben we onmiddellijk middelen gemobiliseerd en is er nu mitigatie beschikbaar. Terwijl de patch in ontwikkeling is, bieden we nu oplossingen om de belangen van onze klanten voorop te stellen”, luidt het beveiligingsadvies van Ivanti.

“Uit grote voorzichtigheid adviseren wij alle klanten de externe ICT te laten draaien. Aan de externe ICT hebben we nieuwe functionaliteit toegevoegd die in de toekomst in de interne ICT wordt geïntegreerd. We bieden regelmatig updates voor de externe en interne ICT, dus klanten moeten er altijd voor zorgen dat ze de nieuwste versie van elk gebruiken”, zegt Ivanti zei.

Onderzoekers van beveiligingsbedrijf Volexity uitgelegd dat “deze twee kwetsbaarheden het, wanneer ze worden gecombineerd, voor aanvallers triviaal maken om opdrachten op het systeem uit te voeren.” Hierdoor konden hackers “configuratiegegevens stelen, bestaande bestanden wijzigen, externe bestanden downloaden en de tunnel van het ICS VPN-apparaat omkeren.”

Volgens Volexity is de aanval waarschijnlijk gekoppeld aan de door China gesteunde hackgroep die wordt gevolgd als UTA0178.

Ivanti zei dat het op dit moment slechts op de hoogte is van “minder dan 10 klanten” die getroffen zijn door de “zero day”-kwetsbaarheden.

Toch zei veiligheidsonderzoeker Kevin Beaumont dat er “waarschijnlijk nog veel meer slachtoffers zullen zijn.” Beaumont. Hij deelde scanresultaten waaruit bleek dat ongeveer 15,000 Ivanti-apparaten, die mogelijk door de kwetsbaarheden zijn getroffen, zijn blootgesteld aan internet.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.safetydetectives.com/news/state-backed-hackers-target-new-ivanti-vpn-zero-day/