Kritiek lek in Ivanti Connect Secure laat aanvaller code op vpn-server uitvoeren
Een kritieke kwetsbaarheid in Ivanti Connect Secure en Policy Secure maakt het mogelijk voor aanvallers om code op vpn-servers uit te voeren. Het bedrijf heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. In het verleden is Connect Secure vaker het doelwit van aanvallen geweest.
De kwetsbaarheid (CVE-2024-37404) waarvoor Ivanti nu waarschuwt bevindt zich in de adminportal van de vpn-oplossing en is alleen te misbruiken als een aanvaller toegang tot inloggegevens van een beheerder heeft. Ondanks deze vereiste is de impact van het beveiligingslek op een schaal van 1 tot en met 10 beoordeeld met een 9.1. Ivanti raadt organisaties aan de beschikbare update te installeren. Daarnaast wordt geadviseerd om admintoegang alleen voor de managementinterface in te schakelen en ervoor te zorgen dat deze interface verbonden is met een geïsoleerd intern netwerk.
Want andere producten hebben geen kwetsbaarheden? Als je leverancier scherp is op kwetsbaarheden patchen, dan hoef je echt niet stel op sprong te migreren naar een andere oplossing.
Op het moment dat iemand al op je management-lan zit én valid credentials heeft is deze vulnerability wel het minste van je problemen...
Op het moment dat iemand al op je management-lan zit én valid credentials heeft is deze vulnerability wel het minste van je problemen...
of als je een beheerder hebt die "beheer vanaf internet" aan gezet heeft zodat ie thuiswerkend ook wat zaken kan aanpassen...
kijk als dit je ENIGE VPN router is dan wordt het wellicht lastig om "beheer via een VPN" te doen.
Op het moment dat iemand al op je management-lan zit én valid credentials heeft is deze vulnerability wel het minste van je problemen...
of als je een beheerder hebt die "beheer vanaf internet" aan gezet heeft zodat ie thuiswerkend ook wat zaken kan aanpassen...
kijk als dit je ENIGE VPN router is dan wordt het wellicht lastig om "beheer via een VPN" te doen.
Dan verdien je het niet om beheerder te zijn. Zorg dan voor een dedicated/backup beheeringang los van het te beheren, of ga naar locatie. Hoe lang geleden zijn we al afgestapt van het mixen van verschillend gekleurd verkeer?
Mensen, sorry, ik bedoel managers, houden niet van denken.
Er komt een verkoper langs die aangeeft dat dit het product is wat ze moeten hebben met een extra duur Enterprise support abonnement erbij. Managers hebben veelal 0,0% verstand van IT en betalen graag. Een probleem is voor hun gewoon een uitgave, het gaat er niet om of een probleem daadwerkelijk wordt opgelost. Waar het om gaat is dat hij kan zeggen dat ze nog wel zo'n duur bekend product hebben gekocht.
Daarnaast heb je domme mensen die nog geen olifant kunnen zien terwijl ze er bovenop zitten.
Zie ook hier weer: Want andere producten hebben geen kwetsbaarheden? Of, het is geen probleem want punt X.
Ze hebben zulke oogkleppen op dat ze denken dat het 'normaal' is of trekken whataboutism uit de kast.
Voorbeeld: al meer dan 30 jaar moeten we maandelijks de legacy code van Microsoft updaten... Veelal handmatig.
Mensen denken dat dit 'normaal' is terwijl ze letterlijk een apparaat in hun zak hebben dat nooit hoeft te herstarten en amper beveiligingsupdates nodig heeft.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
