In België zijn 80 Ivanti-gateways vatbaar voor hackers, Nederland heeft er 97 online. Wereldwijd zijn er meer dan 13.000 gateways waarmee hackers aan de slag kunnen
Wie vandaag een Ivanti-gateway in zijn of haar bedrijf gebruikt, is hopelijk al langer wakker en alert. Na meerdere zerodays-lekken en andere kritieke kwetsbaarheden op twee maanden tijd werpen hackers zich moeiteloos op de kwetsbare toestellen die vandaag nog niet gepatcht zijn.
Het gaat om de volgende kwetsbaarheden: CVE-2024-22024, CVE-2023-46805, CVE-2024-21887, CVE-2024-21893 en CVE-2024-21888. Ivanti heeft al langer een patch beschikbaar, maar het meest recente nieuwe kritieke lek geeft hackers weer een opening. Meer dan 13.000 toestellen die vandaag online actief zijn, worden geviseerd door hackers.
Volgens Akamai wordt het meest recente lek actief uitgebuit. Het noteerde meer dan 240.000 requests en op 80 IP-adressen werd geprobeerd om payloads te verzenden op 11 februari, de dag dat het lek bekend werd gemaakt.
Shadowserver laat op X weten dat heel wat Ivanti-gateways die kwetsbaar zijn, nog steeds online vindbaar zijn.
In België gaat het om 80 gateways, Nederland heeft er 97 online. In onze buurlanden staat vooral het VK er het slechtst voor met 287 gateways online, gevolgd door Duitsland (186), Frankrijk (149) en Luxemburg (8). De wereldwijde kaart met alle details kan je hier terugvinden.
Te veel zerodays
Sinds midden januari wordt er een zeroday actief uitgebuit binnen de Ivanti Connect Secure VPN-client. Eind januari waren er 492 VPN-toestellen gehackt uit de 26.000 toestellen die online zichtbaar zijn. Duitsland, Italië en Nederland vormen de top drie in Europa. Ivanti kreeg al een veeg uit de pan omdat het de deadline van 22 januari gemist had voor het uitrollen van een patch.
Begin februari sloeg Murphy toe bij Ivanti met twee nieuwe zerodays in Connect Secure. Dit nieuws viel samen met de beschikbaarheid van nieuwe patches om de vorige zerodays te elimineren. Ivanti zegt dat de patch van 31 januari ook voldoende bescherming zou bieden tegen de nieuwe zero-days en benadrukt met klem dat gebruikers onmiddellijke actie moeten ondernemen. Tot klanten de patches uitgevoerd hebben, biedt de VPN-dienst Connect Secure allesbehalve beveiligde connectiviteit.