Net op de dag dat Ivanti patches uitrolt voor twee actief uitgebuite kwetsbaarheden in Connect Secure, duiken twee nieuwe zerodays op. Het blijft alle hens aan dek bij de VPN-dienst.
Ivanti heeft goed nieuws en slecht nieuws te melden. We beginnen met het goede nieuws: Ivanti heeft patches uitgerold om kwetsbaarheden CVE-2023-46805 en CVE-2024-21887 op te lossen in zijn VPN-dienst Connect Secure. Die zorgden sinds december al voor grote problemen: wereldwijd zouden minstens 500 VPN-toestellen ermee gehackt zijn: in Europa beperkt zich dat vooralsnog door enkele toestellen. Andere cijfers spreken over bijna 2.000 exploits. Het zouden voornamelijk Chinese hackers zijn zich als aasgieren op Connect Secure storten.
Ivanti kreeg al een veeg uit de pan omdat het de deadline van 22 januari gemist had voor het uitrollen van een patch. Met meer dan een week vertraging rolt Ivanti die alsnog uit. Ivanti raadt aan om eerst een fabrieksreset uit te voeren alvorens de patch uit te voeren.
Wet van Murphy
Een bekende wet zegt dat alles wat fout kan gaan, ook fout gaat, en dat is nu het geval voor Ivanti. CVE-2023-46805 en CVE-2024-21887 mogen dan zijn opgelost, maar er zijn alweer twee nieuwe kwetsbaarheden ontdekt: CVE-2024-21888 en CVE-2024-21893. Met de eerste kwetsbaarheid kunnen indringers hun privileges op je netwerk opkrikken, de tweede veroorzaakt een serverfout waardoor aanvallers kunnen binnenbreken zonder zich zelfs maar te moeten authenticeren.
CVE-2024-21893 zet de deur van je netwerk in andere woorden dus wagenwijd open en Ivanti vreest dan ook dat dit de volgende kwetsbaarheid kan zijn die actief wordt uitgebuit. Die voorspelling lijkt ook helemaal uit te komen: cijfers van Shadowserver tonen een piek in exploits van de kwetsbaarheid sinds dit weekend. De kwetsbaarheid lijkt ook eerdere workarounds die Ivanti deelde te omzeilen. Ook de Amerikaanse en Duitse cyberveilgheidsinstanties hebben waarschuwingen gepubliceerd.
Ivanti zegt dat de patch van 31 januari ook voldoende bescherming zou bieden tegen de nieuwe zero-days en benadrukt met klem dat gebruikers onmiddellijke actie moeten ondernemen. Tot klanten de patches uitgevoerd hebben, biedt de VPN-dienst Connect Secure allesbehalve beveiligde connectiviteit.
Dit artikel verscheen origineel op 1 februari. De tekst kreeg een update met de recentste informatie.