De Britse registry Nominet is aangevallen via een kwetsbaarheid in de vpn-software van Ivanti, zo heeft de organisatie die de .uk-domeinnamen beheert zelf bekendgemaakt. In een e-mail aan klanten laat Nominet weten dat het eind vorige week verdachte activiteit op het netwerk ontdekte. De aanvallers waren binnengekomen via de vpn-software van Ivanti. Nominet gebruikt de software om personeel op afstand toegang tot systemen te geven.

Nominet stelt verder dat de aanvallers misbruik maakten van een kwetsbaarheid waarvoor op het moment van de aanval geen beveiligingsupdate beschikbaar was. Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Een stack-based buffer overflow in de vpn-oplossing maakt remote code execution mogelijk.

Het beveiligingslek wordt aangeduid als CVE-2025-0282 en heeft op een schaal van 1 tot en met 10 een score van 9.0. Securitybedrijf Mandiant liet vorige week weten dat het halverwege december de eerste aanvallen heeft waargenomen die misbruik van de kwetsbaarheid maken. Ivanti kwam vorige week met beveiligingsupdates voor het probleem. Volgens Nominet zijn er geen aanwijzingen dat de aanvallers gegevens hebben gestolen. Ook zijn er geen backdoors of andere ongeautoriseerde toegang geïdentificeerd. Het onderzoek is nog gaande en Nominet zegt de vpn-toegang van personeel te hebben beperkt.