Het Amerikaanse cyberagentschap CISA heeft een waarschuwing afgegeven voor malware die Ivanti vpn-servers volledig compromitteert en de draaiende coreboot-image van het systeem manipuleert. De aanvallers maken gebruik van een kwetsbaarheid in Ivanti Connect Secure waardoor ze zonder authenticatie een stack-based buffer overflow kunnen veroorzaken, waardoor het mogelijk is om op afstand code op de vpn-server uitvoeren.

Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Zodra de aanvallers toegang hebben installeren ze de Resurge-malware, aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Deze malware creëert een webshell zodat de aanvallers toegang tot de vpn-server behouden. Via de webshell is het ook mogelijk om inloggegevens te stelen, accounts aan te maken, wachtwoorden te resetten en rechten te verhogen.

Een andere eigenschap van de malware is dat die de webshell naar de draaiende boot disk kopieert en vervolgens de draaiende coreboot image manipuleert. De malware manipuleert onder andere de integriteitscontroles van het systeem, zodat de aanwezigheid niet wordt opgemerkt. Het CISA adviseert beheerders voor een 'highest level of confidence' een fabrieksreset uit te voeren. Updates voor de kwetsbaarheid zijn sinds begin januari beschikbaar. Misbruik vond echter al voor het uitkomen van de patches plaats.