Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Connect Secure en Pulse Connect Secure om kwetsbare vpn-servers over te nemen, zo waarschuwt softwarebedrijf Ivanti. Meerdere klanten zijn inmiddels gecompromitteerd, aldus het bedrijf, dat updates beschikbaar heeft. Het gaat om een kritieke kwetsbaarheid aangeduid als CVE-2025-22457 die remote code execution door een ongeauthenticeerde aanvaller mogelijk maakt.

Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Het beveiligingslek werd op 11 februari met de release van Ivanti Connect Secure 22.7R2.6 verholpen, maar was in eerste instantie als een "product bug" geïdentificeerd. De kwetsbaarheid, waarvan het bestaan vandaag door Ivanti is aangekondigd, is aanwezig in Ivanti Connect Secure (versie 22.7R2.5 en eerder), Pulse Connect Secure 9.x en Ivanti Policy Secure en ZTA gateways.

Pulse Connect Secure 9.1.x is sinds 31 december vorig jaar end-of-support en ontvangt geen updates meer. Organisaties die nog met deze versie werken moeten contact opnemen met Ivanti voor het migreren naar Connect Secure. Volgens het softwarebedrijf is het bekend met een "beperkt aantal klanten" waarvan de vpn-servers zijn gecompromitteerd. Om hoeveel klanten het gaat is niet bekendgemaakt. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.0.

Update

Securitybedrijf Mandiant heeft meer details over de aanvallen. Die vinden volgens het bedrijf sinds halverwege maart plaats. Het beveiligingslek werd in eerste aangezien voor een 'low-risk' denial of service kwetsbaarheid. Mandiant vermoedt dat de aanvaller de patch die op 11 februari uitkwam heeft onderzocht en zo een manier ontdekte om het lek voor remote code execution te gebruiken. Via de kwetsbaarheid installeren de aanvallers backdoors op vpn-servers.