De Amerikaanse overheid adviseert wegens aanvallen organisaties die met software van Ivanti werken om een fabrieksreset uit te voeren. Ivanti kwam vorige week met een waarschuwing voor een actief aangevallen kwetsbaarheid in Ivanti Connect Secure, Pulse Connect Secure, Policy Secure en ZTA Gateways. Via het beveiligingslek (CVE-2025-22457) kan een ongeauthenticeerde aanvaller op afstand code op kwetsbare systemen uitvoeren en die compromitteren.

Ivanti Connect Secure, eerder nog bekend als Pulse Connect Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Pulse Connect Secure 9.1.x is sinds 31 december vorig jaar end-of-support en ontvangt geen updates meer. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.0.

Wegens de aanvallen is het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security nu met extra advies gekomen. Voor alle instances van Ivanti Connect Secure die niet op 28 februari dit jaar waren gepatcht met versie 22.7R2.6 en voor alle instances van Pulse Connect Secure, Policy Secure, en ZTA Gateways adviseert het CISA voor de 'highest level of confidence' om een fabrieksreset uit te voeren, ongeacht of uit onderzoek blijkt dat het systeem is gecompromitteerd of niet.

In het geval van een gecompromitteerd systeem moeten daarnaast ook alle blootgestelde certificaten, keys en wachtwoorden worden gewijzigd. Wanneer blijkt dat ook domain-accounts zijn gecompromitteerd moeten wachtwoorden voor on-premises accounts twee keer worden gereset en Kerberos-tickets worden ingetrokken, alsmede tokens voor cloud-accounts in hybride omgevingen. Als laatste worden gecompromitteerde organisaties opgeroepen dit meteen aan het CISA en Ivanti te melden.