Nieuws
image

Nederlandse organisaties kwetsbaar door ongepatchte Ivanti-systemen

dinsdag 8 april 2025, 10:08 door Redactie, 5 reacties

Nederland telt allerlei organisaties waarvan de Ivanti-systemen een actief aangevallen kwetsbaarheid bevatten. Dat laat The Shadowserver Foundation weten, die wereldwijd meer dan 5100 kwetsbare systemen telde. Daarvan bevinden zich er honderdveertig in Nederland. Ook de Duitse overheid slaat alarm en meldt dat er 240 kwetsbare Ivanti-systemen in het land actief zijn.

Via het beveiligingslek (CVE-2025-22457) in Ivanti Connect Secure, Pulse Connect Secure, Policy Secure en ZTA Gateways kan een ongeauthenticeerde aanvaller op afstand code op kwetsbare systemen uitvoeren en die compromitteren. Ivanti Connect Secure, eerder nog bekend als Pulse Connect Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Pulse Connect Secure 9.1.x is sinds 31 december vorig jaar end-of-support en ontvangt geen updates meer.

De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.0. Het beveiligingslek werd op 11 februari met de release van Ivanti Connect Secure 22.7R2.6 verholpen, maar was in eerste instantie als een "product bug" geïdentificeerd. Het bestaan van de kwetsbaarheid werd op 3 april door Ivanti aangekondigd. Voor Pulse Connect Secure zijn geen updates beschikbaar.

The Shadowserver Foundation voerde een online scan uit naar kwetsbare Ivanti-systemen en telde 5113 ongepatchte instances. Daarvan bevinden zich er honderdveertig in Nederland en 244 in Duitsland. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, laat weten dat een groot daarvan end-of-support is en geen patches zal ontvangen.

De Amerikaanse overheid geeft vanwege de aanvallen het advies aan organisaties die met software van Ivanti werken om een fabrieksreset uit te voeren. Voor alle instances van Ivanti Connect Secure die niet op 28 februari dit jaar waren gepatcht met versie 22.7R2.6 en voor alle instances van Pulse Connect Secure, Policy Secure, en ZTA Gateways adviseert het CISA voor de 'highest level of confidence' om een fabrieksreset uit te voeren, ongeacht of uit onderzoek blijkt dat het systeem is gecompromitteerd of niet.

Mandiant liet weten dat misbruik van de kwetsbaarheid zeker sinds halverwege maart plaatsvindt. Het securitybedrijf vermoedt dat de aanvaller de patch die op 11 februari uitkwam heeft onderzocht en zo een manier ontdekte om het lek voor remote code execution te gebruiken. Via de kwetsbaarheid installeren de aanvallers backdoors op vpn-servers.

Reacties (5)
Reageer met quote
08-04-2025, 10:45 door Named
VPN's, routers en firewalls behoren het meest beveiligd te zijn, want ze zijn DE verdedigingslinie voor je netwerk.
(Ik zou verwachten dat hier dan ook formal verification word toegepast om het zo perfect mogelijk dicht te timmeren.)

Daarom maak ik me zorgen over de recente hacks/exploits die voor deze apparaten tevoorschijn zijn gekomen...
Reageer met quote
08-04-2025, 10:53 door Anoniem
Door Named: VPN's, routers en firewalls behoren het meest beveiligd te zijn, want ze zijn DE verdedigingslinie voor je netwerk.
(Ik zou verwachten dat hier dan ook formal verification word toegepast om het zo perfect mogelijk dicht te timmeren.)

Daarom maak ik me zorgen over de recente hacks/exploits die voor deze apparaten tevoorschijn zijn gekomen...

Veel kleinere bedrijven hebben dit laten installeren door een IT bedrijf en hebben geen supportcontract (meer).
Zelf hebben ze de kennis vaak niet.
Helaas niet goed, maar wel de realiteit.
Reageer met quote
08-04-2025, 17:57 door Anoniem
Door Named: VPN's, routers en firewalls behoren het meest beveiligd te zijn, want ze zijn DE verdedigingslinie voor je netwerk.
(Ik zou verwachten dat hier dan ook formal verification word toegepast om het zo perfect mogelijk dicht te timmeren.)

Formal verification zoals in de A1 definitie van het Orange Book ?

Nope, dat is zeker niet het geval voor de reguliere perimeter devices .

geen idee of er voor de "full function" versies nog een niche markt bestaat van vendors die wel bewijsbaar aan wat stevige criteria voldoen.

In de heel gelimiteerde functie klasse heb je "data diodes" , hardware dozen die heel goed garanderen dat er maar in 1 richting data doorheen gaat.

(niet helemaal zo simpel als je zou denken - trek de Rx fiber los - , want transport met NUL signalering/handshaking is toch een speciaal geval )


Daarom maak ik me zorgen over de recente hacks/exploits die voor deze apparaten tevoorschijn zijn gekomen...

Zijn er van oudsher wel geweest hoor.
Reageer met quote
08-04-2025, 18:40 door Anoniem
Als je dit hebt draaien is er iets goed mis…. Uitzetten of zometeen vervangen!
Reageer met quote
09-04-2025, 21:22 door Anoniem
Door Named: VPN's, routers en firewalls behoren het meest beveiligd te zijn, want ze zijn DE verdedigingslinie voor je netwerk.
(Ik zou verwachten dat hier dan ook formal verification word toegepast om het zo perfect mogelijk dicht te timmeren.)

Daarom maak ik me zorgen over de recente hacks/exploits die voor deze apparaten tevoorschijn zijn gekomen...
De inzichten zijn de afgelopen jaren iets veranderd... Ze zijn EEN van de verdedigingslinieS in je netwerk.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure