Overheid VS geeft noodbevel af wegens grootschalige Ivanti VPN-aanvallen
De Amerikaanse overheid heeft een noodbevel afgegeven wegens grootschalige aanvallen waarbij misbruik wordt gemaakt van zerodaylekken in Ivanti Connect Secure en Ivanti Policy Secure. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security vormen de aanvallen een 'onacceptabel risico' voor de federale overheid en moeten overheidsorganisaties direct in actie komen.
Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Twee zerodaylekken in de vpn-oplossing, CVE-2023-46805 en CVE-2024-21887, maken het mogelijk voor ongeauthenticeerde aanvallers om eerst de authenticatie te omzeilen en daarna willekeurige commando's op het apparaat uit te voeren. Zo is het mogelijk om een webshell te installeren en toegang tot het apparaat te behouden en verdere aanvallen uit te voeren.
Ivanti heeft nog geen beveiligingsupdates beschikbaar gemaakt, maar er zijn wel mitigaties om systemen te beschermen. Gisteren liet securitybedrijf Volexity weten dat inmiddels meer dan 2100 Ivanti-systemen via de zerodays besmet zijn geraakt. In het geval van ernstige en aangevallen kwetsbaarheden kan het CISA een 'Emergency Directive' afgeven waarmee het overheidsinstellingen opdraagt maatregelen te nemen. Iets wat het nu ook voor de Ivanti-producten heeft gedaan.
Alle federale Amerikaanse overheidsinstanties zijn verplicht om de mitigatie voor maandagmiddag aanstaande door te voeren. Daarnaast moet er een scan worden uitgevoerd. Als blijkt dat het Ivanti-systeem is gecompromitteerd moet de overheidsinstantie dit melden bij het CISA en de systemen in kwestie uit het overheidsnetwerk halen. Verder geeft het CISA aanwijzingen voor het herstellen van besmette systemen, waaronder het wijzigen van het adminwachtwoord, intrekken van certificaten en resetten van API-keys. Verder zijn overheidsinstanties opgedragen om de patches binnen 48 uur te installeren zodra Ivanti ze beschikbaar heeft gesteld.
Ja, de boel open laten staan en er van uit gaan dat de andere security maatregelen het wel
opvangen is veel beter. :)
De realiteit is dat je om de Client VPN zinvol te kunnen gebruiken daarna ook interne firewalls voor bepaald verkeer open moet zetten. Als iemand een shell op een VPN concentrator kan open zetten, dan kan ook de config gelezen worden en heb je dus de kennis en daarmee de technische mogelijkheid om client verkeer te emuleren en verder mee het netwerk binnen te dringen.
Wat "lachwekkender" is, is dat er blijkbaar een noodbevel nodig is om overheidsorganisaties tot actie te bewegen. Daar zou ik dan veel eerder wat van vinden...
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
