Nieuws
image

'Bijna drieduizend Ivanti vpn-servers met kritiek lek online toegankelijk'

donderdag 27 februari 2025, 13:57 door Redactie, 3 reacties

Bijna drieduizend Ivanti vpn-systemen met een kritieke kwetsbaarheid die remote code execution mogelijk maakt, waaronder 122 in Nederland, zijn vanaf het internet toegankelijk, zo meldt The Shadowserver Foundation op basis van eigen onderzoek. Updates voor het beveiligingslek in Ivanti Connect Secure (ICS) zijn sinds 11 februari beschikbaar, maar veel organisaties hebben die nog niet geïnstalleerd.

Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. De kritieke kwetsbaarheid, aangeduid als CVE-2025-22467, betreft een stack-based bufferoverflow waardoor een aanvaller op afstand code kan uitvoeren. Om het beveiligingslek te kunnen misbruiken moet een aanvaller geauthenticeerd zijn, maar elke willekeurige gebruiker is voldoende.

Een aanvaller zou bijvoorbeeld de inloggegevens van een vpn-gebruiker kunnen compromitteren en daarmee het lek op de vpn-server kunnen misbruiken. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9.9 beoordeeld. Ivanti kwam op 11 februari met updates en zegt dat het niet bekend is met misbruik van de kwetsbaarheid. Beveiligingslekken in Ivanti Connected Secure zijn in het verleden geregeld ingezet bij aanvallen.

The Shadowserver Foundation is een stichting die zich met de bestrijding van cybercrime bezighoudt en geregeld online scans naar kwetsbare systemen op internet uitvoert. Bij de laatste scan werd gezocht naar Ivanti vpn-servers die de update voor CVE-2025-22467 niet hebben geïnstalleerd. Dit leverde 2850 ip-adressen op. Het grootste deel daarvan bevindt zich in de VS en Japan. Nederland staat met 122 kwetsbare systemen op de vijfde plek in het overzicht.

Reacties (3)
Reageer met quote
Vandaag, 14:07 door Anoniem
Dus je moet eigenlijk bijna de VPN achter een VPN willen zetten?
Zoiets als dit zeker: https://i.imgur.com/JSR0Q6M.jpeg ?

Voor netwerk apparatuur verwacht je ten minste toch wel dat het veilig in elkaar zit.
Dat is blijkbaar niet het geval dus.
Hoe weet ik nu of de software die ik installeer solide in elkaar zit en hoe kan je die veiligheid meten?
Reageer met quote
Vandaag, 14:38 door Anoniem
Er zou wat realistischer gekeken moeten worden naar het werkelijke risico. Die score van 9.9 is voornamelijk theoretisch en worst case scenario. Wie heeft er niet 2FA/MFA op een vpn appliance? Login via SAML met bv Azure/Entra, al gebruik je de interne mogelijkheid voor TOTP die ingebakken zit, dit is precies een van de grootste redenen dat MFA bestaat; uitlekken van username/password heeft een veel minder grote impact.

Zodra een onbekend persoon door de authenticatie/autorisatie heen kan komen met geldige credentials dan kan diegene al een heel stuk je netwerk in. De remote code execution op de appliance zelf is rot om er als extra bij te hebben, maar diegene kan naar binnen toe al voor een groot deel opgaan in het legitieme verkeer.
Reageer met quote
Vandaag, 15:16 door Anoniem
Door Anoniem: Er zou wat realistischer gekeken moeten worden naar het werkelijke risico. Die score van 9.9 is voornamelijk theoretisch en worst case scenario. Wie heeft er niet 2FA/MFA op een vpn appliance? Login via SAML met bv Azure/Entra, al gebruik je de interne mogelijkheid voor TOTP die ingebakken zit, dit is precies een van de grootste redenen dat MFA bestaat; uitlekken van username/password heeft een veel minder grote impact.

Zodra een onbekend persoon door de authenticatie/autorisatie heen kan komen met geldige credentials dan kan diegene al een heel stuk je netwerk in. De remote code execution op de appliance zelf is rot om er als extra bij te hebben, maar diegene kan naar binnen toe al voor een groot deel opgaan in het legitieme verkeer.
Vroeger hadden we al 2FA namelijk gebruikersnaam en wachtwoord. Op een gegeven moment was er iemand zo slim om het e-mailadres gelijk te stellen aan de gebruikersnaam en toen was het nog maar een 1FA. En hierbij meteen dan hoe ongelofelijk slim ze zijn geweest met Cloud oplossingen, 1FA met een wachtwoord van 8 posities en een infra structuur die voor de hele aardbol openstaat. Nu eindelijk dan hebben ze MFA verplicht gesteld maar eigenlijk is het nog steeds niet meer dan een 2FA.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search