Softwarebedrijf Ivanti waarschuwt organisaties, net als een jaar geleden, voor een actief aangevallen kwetsbaarheid in Connect Secure VPN en roept op de nu beschikbaar gestelde update te installeren. Het beveiligingslek (CVE-2025-0282) laat een ongeauthenticeerde aanvaller via een stack-based buffer overflow op afstand code op de vpn-server uitvoeren. Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen.

Ivanti stelt dat de vpn-server van een 'beperkt aantal klanten' via CVE-2025-0282 is gecompromitteerd. Volgens het softwarebedrijf werden de aanvallen door middel van de Integrity Checker Tool (ICT) op dezelfde dag dat ze plaatsvonden geïdentificeerd. Wanneer dit was laat Ivanti niet weten. Het bedrijf zegt verder met getroffen klanten samen te werken. In het geval van een besmette vpn-server adviseert Ivanti het uitvoeren van een fabrieksreset. Verdere details over de aanvallen, aanvallers of getroffen klanten zijn niet gegeven.

De ICT is een tool om gecompromitteerde vpn-servers mee te identificeren. In het verleden zijn aanvallers erin geslaagd deze tool te omzeilen en ook Ivanti erkent dat de oplossing activiteit van aanvallers niet altijd detecteert. Er wordt dan ook aangeraden de ICT in combinatie met andere monitoringtools te gebruiken. Vorig jaar waren Ivani vpn-servers ook het doelwit van aanvallen, waarop de Amerikaanse overheid met een waarschuwing kwam dat het gebruik van deze servers een 'aanzienlijk risico' met zich meebrengt. CVE-2025-0282 is naast Ivanti Connect Secure ook aanwezig in Ivanti Policy Secure en Ivanti Neurons for ZTA gateways.