Ivanti ontdekt alweer een kritiek lek in zijn Zero Secure VPN-client. De teller staat nu op vijf kwetsbaarheden in twee maanden tijd, waaronder drie zeroday-lekken.
Ivanti heeft een nieuwe kwetsbaarheid ontdekt in Connect Secure, Policy Secure en ZTA-gateways. De fabrikant heeft alle details gelogd onder CVE-2024-22024. Het lek laat toe om authenticatie te vermijden en zit in een paar softwareversies. Hiermee is het niet zo kritiek als de vier eerdere kwetsbaarheden, waaronder drie zeroday-bugs, in de afgelopen twee maanden.
Het is echter bijzonder dat Ivanti claimt dat het zelf deze kwetsbaarheid heeft ontdekt, terwijl onderzoekers van watchTowr op 2 februari hun bevindingen van dit lek hebben gedeeld met de fabrikant. Ivanti spreekt over collega’s die het lek hebben gevonden.
WatchTowr zegt daarop: “Vandaag zijn we blij om te zien dat Ivanti een advisory heeft uitgebracht voor deze kwetsbaarheid. We vonden deze opmerking wel een beetje merkwaardig, maar misschien hebben we een nieuwe set collega’s?” Het bedrijf zei verder dat het ‘verrast’ was over het gebrek aan krediet, maar gaat ervan uit dat het zonder kwade opzet is gedaan.
Deze versies zijn kwetsbaar:
- Ivanti Connect Secure (versie 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 and 22.5R1.1)
- Ivanti Policy Secure (versie 22.5R1.1)
- ZTA (versie 22.6R1.3)
Een patch is al sinds 31 januari beschikbaar. Wie zijn systemen sinds toen heeft geüpdatet, zit goed. Hopelijk heb je dat gedaan, want Ivanti heeft er een heel ruige twee weken op zitten.
Te veel zerodays
Sinds midden januari wordt er een zeroday actief uitgebuit binnen de Ivanti Connect Secure VPN-client. Eind januari waren er 492 VPN-toestellen gehackt uit de 26.000 toestellen die online zichtbaar zijn. Duitsland, Italië en Nederland vormen de top drie in Europa. Ivanti kreeg al een veeg uit de pan omdat het de deadline van 22 januari gemist had voor het uitrollen van een patch.
Begin februari sloeg Murphy toe bij Ivanti met twee nieuwe zerodays in Connect Secure. Dit nieuws viel samen met de beschikbaarheid van nieuwe patches om de vorige zerodays te elimineren. Ivanti zegt dat de patch van 31 januari ook voldoende bescherming zou bieden tegen de nieuwe zero-days en benadrukt met klem dat gebruikers onmiddellijke actie moeten ondernemen. Tot klanten de patches uitgevoerd hebben, biedt de VPN-dienst Connect Secure allesbehalve beveiligde connectiviteit.