Een kwetsbaarheid in Ivanti Connect Secure die het mogelijk maakt om vpn-servers op afstand over te nemen en waarvoor gisterenavond een beveiligingsupdate verscheen is sinds halverwege december misbruikt bij aanvallen, zo stelt securitybedrijf Mandiant op basis van eigen onderzoek. De Amerikaanse overheid heeft organisaties waarvan de vpn-servers zijn getroffen opgeroepen dit te melden.

Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Een stack-based buffer overflow in de vpn-oplossing maakt remote code execution mogelijk. Het beveiligingslek wordt aangeduid als CVE-2025-0282 en heeft op een schaal van 1 tot en met 10 een score van 9.0.

Ivanti stelt dat de vpn-server van een 'beperkt aantal klanten' via CVE-2025-0282 is gecompromitteerd. Volgens het softwarebedrijf werden de aanvallen door middel van de ingebouwde Integrity Checker Tool (ICT) op dezelfde dag dat ze plaatsvonden geïdentificeerd, zodat het bedrijf vervolgens een update kon ontwikkelen. Wanneer de aanvallen bekend werden liet Ivanti niet weten. Mandiant stelt dat het de eerste aanvallen halverwege december heeft waargenomen. Volgens het securitybedrijf kunnen aanvallers via een gecompromitteerde vpn-server het achterliggende netwerk aanvallen.

Verder laat Mandiant weten dat de aanvallen voor zover bekend het werk van één actor zijn. Zodra de aanvallers toegang tot de vpn-server hebben installeren ze malware, waaronder een backdoor en webshell om toegang te behouden, en wijzigen onderdelen van de vpn-server. Daarnaast nemen de aanvallers maatregelen om forensisch onderzoek lastiger te maken, waaronder het aanpassen van logbestanden, en blokkeren van upgrades. Een van de malware-onderdelen kan een systeem-upgrade overleven. Op besmette vpn-servers werd ook een script uitgevoerd om wachtwoorden van vpn-gebruikers te stelen. Nu informatie over de kwetsbaarheid bekend is waarschuwt Mandiant organisaties voor 'opportunistisch misbruik'.

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft een stappenplan online gezet voor het vinden van malware op Ivanti vpn-servers. In het geval van een succesvol gecompromitteerde vpn-server verzoekt het CISA om dit bij de overheidsinstantie en Ivanti te melden. Tevens moet de betreffende vpn-server van het netwerk en internet worden losgekoppeld, Daarna moet er een fabriekreset plaatsvinden, gevolgd door de installatie van de beveiligingsupdate. Tevens dienen alle wachtwoorden, certificaten en keys met betrekking tot de vpn-server worden ingetrokken en vervangen.