Er zijn twee kritieke zeroday-kwetsbaarheden ontdekt in de Ivanti Connect Secure. Organisaties die hier gebruik van maken, moeten zo snel mogelijk actie ondernemen.
Update 23/01/2024: Ivanti waarschuwt admins dat ze geen nieuwe toestelconfiguraties mogen doorvoeren naar toestellen nadat ze de patch hebben toegepast. Blijkbaar worden die toestellen dan automatisch kwetsbaar via de onderstaande zeroday-lekken.
“Klanten moeten stoppen met het pushen van configuraties naar appliances met de XML op zijn plaats, en niet doorgaan met het pushen van configuraties totdat het toestel is gepatcht,” aldus Ivanti in een nieuwe update die zaterdag is gepubliceerd.
“Wanneer de configuratie naar het toestel wordt gepusht, stopt het de werking van sommige belangrijke webservices en stopt het de mitigatie. Dit geldt alleen voor klanten die configuraties naar toestellen pushen, inclusief configuratie pushes via Pulse One of nSA. Dit kan zich voordoen ongeacht een volledige of gedeeltelijke configuratiepush.”
Origineel bericht 11/01/2024: Onbekende hackers richten hun pijlen actief op twee kritieke zeroday-kwetsbaarheden. Hiermee zouden ze tweefactorauthenticatie (2FA) kunnen omzeilen om zo kwaadaardige codes uit te voeren op een veelgebruikt netwerkapparaat van Ivanti namelijk, Connect Secure. Het is niet de eerste keer dat Ivanti hiermee in aanraking komt.
CVE-2023-846805 en CVE-2024-21887
Klanten van Ivanti Connect Secure moeten meteen actie ondernemen en de richtlijnen voor de mitigatie opvolgen. De kwetsbaarheden worden gemarkeerd als CVE-2023-846805 en CVE-2024-21887 en bevinden zich in Ivanti Connect Secure, een VPN-apparaat dat veelgebruikt wordt en voorheen bekend stond als Pulse Secure. Het is niet de eerste keer dat het bedrijf in aanraking komt met zerodays die op grote schaal werden uitgebuit.
lees ook
Drie gekende kwetsbaarheden in SSL VPN nog steeds uitgebuit
Onderzoekers van beveiligingsbedrijf Veloxity schreven dat deze twee kwetsbaarheden in combinatie met elkaar triviaal zijn om commando’s op het systeem uit te voeren. Net als bij andere VPN’s kunnen alleen geautoriseerde apparaten toestemming geven om op afstand verbinding te maken. Door deze ‘altijd-aan-status’ is het apparaat een ideaal doelwit om kwetsbaarheden in de codes te ontdekken.
Tot op heden lijken de zerodays enkel in kleine aantallen te zijn uitgebuit, maar de kans is groot dat dit kan veranderen, besluit Steven Adair, CEO van Veloxity. Ondertussen zouden al meer dan 1.700 apparaten zijn aangevallen.