Ivanti waarschuwt voor ernstige zeroday in Connect Secure-vpn en Policy Secure

Ivanti waarschuwt gebruikers voor een ernstige kwetsbaarheid in de Connect Secure-vpn-dienst en de Policy Secure Gateway die actief zou worden misbruikt. Het bedrijf heeft een patch uitgebracht die twee zerodays repareert.

Ook het Digital Trust Center waarschuwt voor de kwetsbaarheden, die actief worden misbruikt. Het gaat om twee bugs waar Ivanti ook zelf voor waarschuwt. De bugs zitten in Ivanti Point Secure, wat het vroegere Pulse Secure is, en in de Ivanti Policy Secure Gateway. De bugs werken in combinatie met elkaar; als de een met de ander wordt samengevoegd, kan een aanvaller zonder authenticatie commando's uitvoeren op een systeem, met adminrechten. De bugs zijn ernstig; ze hebben CVSS-scores van 8.2 en 9.1 en het Nationaal Cyber Security Center classificieert ze als High/High.

Ivanti heeft een technische advisory geschreven over de twee bugs. De eerste is CVE-2023-46805. Dat is een authenticatieomzeilingsmethode in de webcomponent van ICS waarmee een aanvaller onderdelen op het systeem kan bereiken door bepaalde controlemechanismes te omzeilen. De tweede bug in CVE-2024-21887 is een command injection-bug in Connect Secure en Policy Secure waarmee een aanvaller zonder authenticatie commando's op een apparaat kan uitvoeren.

Beide bugs worden dus actief misbruikt, maar Ivanti geeft geen details over de exploitatie. Het bedrijf zegt dat gebruikers met Neurons voor ZTA-gateways niet kwetsbaar zijn. Ook zijn Neurons voor Secure Access niet kwetsbaar, maar de gateways die daarmee worden aangestuurd, kunnen dat wel zijn.

Beide kwetsbaarheden zitten in versies 9.x en 22.x van de software. Ivanti heeft inmiddels een mitigatie voor de bugs uitgebracht, waarvan het klanten direct aanraadt die toe te passen. Het heeft die mitigatie beschikbaar gesteld aan klanten. Het gaat nog niet om een definitieve patch; een eerste versie daarvan volgt pas in de week van 22 januari en een definitieve versie komt rond 19 februari.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 12-01-2024 07:27 30

12-01-2024 • 07:27

30

Lees meer

Microsoft lost zeroday in Edge op en zegt dat Google van misbruik wist
Microsoft lost zeroday in Edge op en zegt dat Google van misbruik wist Nieuws van 31 maart 2024
Google: 50 procent meer zerodays actief misbruikt in 2023 dan in 2022
Google: 50 procent meer zerodays actief misbruikt in 2023 dan in 2022 Nieuws van 28 maart 2024
Atlas VPN stopt in april en zet klanten over naar NordVPN
Atlas VPN stopt in april en zet klanten over naar NordVPN Nieuws van 27 maart 2024
Ivanti waarschuwt voor kritieke bugs in Standalone Sentry en Neurons for ITSM
Ivanti waarschuwt voor kritieke bugs in Standalone Sentry en Neurons for ITSM Nieuws van 21 maart 2024
Cybersecuritywaarschuwingen van DTC stegen in 2023 van 35.000 naar 156.000
Cybersecuritywaarschuwingen van DTC stegen in 2023 van 35.000 naar 156.000 Nieuws van 11 maart 2024
ExpressVPN brengt tijdelijke fix uit voor foutief delen dns-verzoeken met derden
ExpressVPN brengt tijdelijke fix uit voor foutief delen dns-verzoeken met derden Nieuws van 12 februari 2024
Ivanti waarschuwt opnieuw voor zeroday in Connect Secure-vpn
Ivanti waarschuwt opnieuw voor zeroday in Connect Secure-vpn Nieuws van 31 januari 2024
Ivanti waarschuwt voor ernstig lek waarmee hackers EPM-machines kunnen overnemen
Ivanti waarschuwt voor ernstig lek waarmee hackers EPM-machines kunnen overnemen Nieuws van 5 januari 2024
Rapid7 vindt nieuwe kwetsbaarheid in eerder misbruikte Ivanti-tool MobileIron
Rapid7 vindt nieuwe kwetsbaarheid in eerder misbruikte Ivanti-tool MobileIron Nieuws van 3 augustus 2023
Noorse overheid erkent gehackt te zijn via zeroday in Ivanti
Noorse overheid erkent gehackt te zijn via zeroday in Ivanti Nieuws van 26 juli 2023
Meer producten en artikelen
Beveiliging en antivirus

Reacties (30)

-Moderatie-faq
30
29
10
0
0
2
Wijzig sortering
Dicratium 12 januari 2024 09:51
Dit is inderdaad een vervelende kwetsbaarheid, hebben ook wij gisteren de hele dag en avond werk aan gehad om de mitigatie toe te passen en de appliances te controleren op breaches. Pulse Secure is er niet op vooruit gegaan sinds Ivanti het heeft overgenomen.

We zijn bezig met migreren naar een betere oplossing maarja, dat kost tijd met een internationaal bedrijf….

Succes iedereen!
SunnieNL @Dicratium12 januari 2024 11:14
Tja, wat dat betreft hebben alle leveranciers van dit soort oplossingen dezelfde problemen. Cisco, Citrix, Zscaler, Palo Alto en Fortinet zijn bv. afgelopen jaar ook meerdere keren in het nieuws geweest met ernstige CVE's.
Er zal geen enkele leverancier zijn in dit segment dat gevrijwaard is van vulnerabilities. Het zijn nou eenmaal targets die interessant zijn omdat in alle gevallen je bij een groot aantal bedrijven en key targets binnen kan komen.
Clubbtraxx @Dicratium12 januari 2024 12:57
Wat geldt bij jullie als de betere oplossing voor in de toekomst?
Bij ons ook Pulse Secure in gebruik en vandaag gepatched.
Dicratium @Clubbtraxx12 januari 2024 15:10
Wij zijn bezig met ZPA (van Zscaler), dan heb je ook gelijk Zero Trust (PBAC). Hoewel ook zij (zoals SunnieNL aangeeft) niet vrij zijn van problemen heb je er wel een stuk meer controle over aan de appliance kant. Geen internet facing interfaces bijvoorbeeld en het is mogelijk om de appliance helemaal zelf te beheren op OS-niveau (is immers gewoon Linux). Schaalbaarheid is voor ons ook een pré.

Ik weet zeker dat er meer dan genoeg andere valide oplossingen zijn.

Ding over Pulse Secure appliances, vergeet niet dat de 9.1X train vanaf juli End of Engineering is en eind 2025 EoL. Migreren naar de 22.x train is een volledige LCM actie, niet inline.
pctje 12 januari 2024 07:35
Het hele verhaal is hier te lezen. https://www.volexity.com/...vanti-connect-secure-vpn/
Jan-Will3m @pctje12 januari 2024 07:39
verwijderd

[Reactie gewijzigd door Jan-Will3m op 22 juli 2024 18:06]

Aalard99 @Jan-Will3m12 januari 2024 08:33
Ik denk niet dat de belastingdienst blij is dat je dit soort informatie publiek op het internet zet….. lijkt mij gevoelige informatie waar je vertrouwelijk mee om moet gaan.
Call of Duty @Aalard9912 januari 2024 09:02
Met zoveel werknemers maakt het niet zoveel uit. Dan moet je er vanuit gaan dat dat soort zaken al wel bekend zijn. Kleine Google-search voor site:Linkedin geeft al beheerders en een product owners voor Pulse Secure bij de Belastingdienst weer, dus die rekensom is voor iedereen snel gemaakt.

Trotse beheerders die een foto van hun werkplek maken met gegevens op de schermen, dat komt helaas nog vaak voor. Of een leuke blog waarin ze vertellen hoe ze met Mendix alles opgebouwd hebben, incluis architectuur, versienummers en nog meer infor die mensen met kwade bedoelingen ook wel leuk vinden om te weten. Kan je niet tegenhouden, veel mensen denken daar niet over na.
Aalard99 @Call of Duty12 januari 2024 09:26
Trotse beheerders die een foto van hun werkplek maken met gegevens op de schermen, dat komt helaas nog vaak voor. Of een leuke blog waarin ze vertellen hoe ze met Mendix alles opgebouwd hebben, incluis architectuur, versienummers en nog meer infor die mensen met kwade bedoelingen ook wel leuk vinden om te weten. Kan je niet tegenhouden, veel mensen denken daar niet over na.
Dus dan is het ook maar oke om dit soort informatie hier op een forum te plaatsen? Security is iets van ons allemaal, de mens is de zwakste schakel hierin.
Verwijderd @Aalard9912 januari 2024 12:35
Door Aalard99:
Ik denk niet dat de belastingdienst blij is dat je dit soort informatie publiek op het internet zet….. lijkt mij gevoelige informatie waar je vertrouwelijk mee om moet gaan.
Ik weet niet hoe de bdienst deze issue heeft opgepakt, maar uit eigen ervaring weet ik dat bij sommige (vooral grotere) organisaties er veel te traag op acute beveiligingsrisico's wordt gereageerd.

Keer op keer zien we, bijvoorbeeld vorig jaar bij de MoveIT kwetsbaarheid, dat grote aantallen organisaties gehacked worden (en vaak ransomware wordt uitgerold) ook nadat patches beschikbaar en/of migiterende maatregelen bekend zijn. En er van miljoenen mensen privacygevoelige gegevens in handen van criminelen vallen.

Zelf ben ik ooit bijna weggestuurd van een detacheringsklus omdat ik "de lijn gepasseerd" had door ernstige securityrisico's bij het hogere management te melden - iets waarvan die "lijn" de risico's weigerde in te zien (of echt niet begreep "want het was nog nooit fout gegaan").

Het is voor melders vaak een enorm lastige afweging: moet je "hogerop" of zelfs "full disclosure" gaan als iedereen de schouders ophaalt of naar elkaar blijft wijzen?

Cybercriminelen kijken waarschijnlijk niet in dit soort discussies, sites als Shodan hebben hen allang verteld waar zij kwetsbare systemen kunnen vinden (vooral grotere organisaties, met potentieel minder overzicht op ICT en/of "schaduw IT", doen er goed aan om hun eigen "buitengrens" regelmatig met Shodan te inspecteren).

Organisaties zouden een soort SEH moeten hebben die buiten de stroperige kanalen om snel kan handelen, en desnoods de boel uitzet. Ja, dat levert schade op, maar je doet er zeer verstandig aan om de afweging te maken wat de schade kan worden als je erop gokt dat criminelen jouw organisatie niet interessant genoeg zullen vinden.

Tel je zegeningen met elke medewerker die risico's ziet en aankaart, ook als dat minder handig overkomt.

Aanvulling 12:38: de kans dat zij daarmee naar buiten treden, neemt toe als je niet naar hen luistert. Zorg dat jouw medewerkers serieus worden genomen.

Aanvulling 12:57: kunnen diegenen die mijn reactie als irrelevant hebben bestempeld, uitleggen waarom dat zo is? Iedereen die sites als BleepingComputer een beetje volgt weet dat we de komende maanden weer gaan lezen welke bedrijven, andere NGO's en overheden via dit Ivanti VPN-server lek zijn gehacked, systemen zijn versleuteld en persoonsgegevens op straat zijn beland.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 18:06]

Jan-Will3m @Aalard9912 januari 2024 08:49
Nee, en wel om de volgende reden.

The concept of security through obscurity (STO) relies on the idea that a system can remain secure if the vulnerabilities are secret or hidden. If an attacker does not know what the weaknesses are, they cannot exploit them. The flip side is that once that vulnerability is exposed, it is no longer secure.

Daarnaast is het helemaal geen geheim. elke medewerker moet ermee werken.
bzzzt @Jan-Will3m12 januari 2024 08:56
Is dat de mening van jou of van je werkgever?
Jan-Will3m @bzzzt12 januari 2024 09:55
Je hebt gelijk, ik heb het verwijderd.
Aalard99 @Jan-Will3m12 januari 2024 09:24
Dan is het dus interne informatie en niet publiek. Nu ziet de hele wereld dat de belastingdienst dit platform gebruikt inclusief welke versie. Dit is informatie die een aanvaller maar al te graag wil weten.

Ik zou je echt adviseren om dit niet zomaar op een publiek forum bekend te maken, het voegt namelijk ook echt niets toe aan de discussie hier. Als ik ook bij de belastingdienst had gewerkt had ik dit intern gerapporteerd aan de security afdeling.

[Reactie gewijzigd door Aalard99 op 22 juli 2024 18:06]

thetakman @Aalard9912 januari 2024 09:33
Ik snap dit ook niet zo goed nee.
Leuk dat er heel veel mensen mee werken, en inderdaad moet je geen beveiliging hebben door het verborgen te houden.

Maar om nou pontificaal op een forum te gooien welke software inclusief versie nummer ze gebruiken. Tja dat is ook niet echt fantastisch slim nee.. Ik zou er niet heel vrolijk van worden als ik je manager was, maar net zo min dat ik er vrolijk van zou worden als een beheerder een selfie post met 3 schermen achter hem die openstaan met allerlei informatie.

Dan zit je in beiden scenario's niet echt waar je thuis hoort.
Er zit een enorme kloof aan verschil tussen: Iets verborgen houden, Janneke bij de receptie die de naam van een softwarepakket noemt bij een thee kransje, de ICT die voor en achternaam inclusief versie en build nummer van je pakket op een forum gooit.

Maarja zover de rant van een andere systeembeheerder.
bzzzt @Jan-Will3m12 januari 2024 09:23
Wie zegt dat ze niet al lang de beschikbare mitigations hebben doorgevoerd? Daarnaast is het hebben van toegang tot een VPN gateway niet hetzelfde als toegang tot het hele netwerk. Tegenwoordig mag je aannemen dat ook interne services over TLS beveiligde verbindingen lopen.
HJR @bzzzt12 januari 2024 09:37
Ik antwoord eigenlijk nooit op dit soort topics, maar deze opmerking vind ik tenenkrommend.
In jouw redenatie heb je dan ook geen VPN nodig en kun je alle applicaties aan de buitenwereld exposen omdat ze TLS in place hebben.
Als je op het netwerk zit dan kun je eenvoudig het complete achterliggende netwerk in kaart brengen en op zoek naar de systemen die kwetsbaar zijn voor welke vulnerability dan ook.
Of je bouwt een back door en gaat gewoon wachten op de volgende exploit op een systeem welke je in kaart hebt gebracht.
Zodra je deze dan kunt exploiten, kom je terug via je backdoor en heb je alsnog wat je wilt.
bzzzt @HJR12 januari 2024 09:56
In jouw redenatie heb je dan ook geen VPN nodig en kun je alle applicaties aan de buitenwereld exposen omdat ze TLS in place hebben.
Mijn redenatie is dat je bij 'defense in depth' niet al je knikkers op 1 beveiligingsmaatregel inzet. Daarom is het speculeren over wie zo'n lek heeft misbruikt in mijn optiek onzinnig.
Als blijkt dat er verder geen enkele maatregel is genomen is dat het shocking nieuws en niet het wel of niet misbruikt zijn van deze zeroday.
stijnos1991 @Jan-Will3m12 januari 2024 07:52
Nee hoor, dat is te kort door de bocht. Er zijn vast enkele instellingen die het gebruiken maar bij lange na niet alle partijen binnen de Rijksoverheid.
janremie @stijnos199112 januari 2024 08:15
Ik ken helaas ook nutsbedrijven die met de VPN van Pulse Secure zitten.
Dus dat niet alle instellingen hier gebruik van maken betekend niet dat het daarom geen probleem is als er misbruik van gemaakt kan worden door een buitenland.
Terran 12 januari 2024 08:17
Hier de link met info en patch

https://forums.ivanti.com...e-Gateways?language=en_US
Simkin 12 januari 2024 08:23
De bugs werken in combinatie met elkaar; als de een met de ander wordt samengevoegd, kan een aanvaller zonder authenticatie commando's uitvoeren op een systeem, met adminrechten.
Hoe kan een target machine überhaupt bereikt worden als de VPN verbinding niet wordt opgezet? Of zorgen deze bugs ervoor dat er zonder authenticatie een tunnel kan worden opgezet? Of bedoelen ze met "een systeem" de server/firewall waar de Ivanti software draait?
bzzzt @Simkin12 januari 2024 09:24
Als je de advisory leest lijkt het inderdaad mogelijk code op de gateway uit te voeren.
Defspace @Simkin12 januari 2024 12:30
Als er een bug zit in de listener kan er eventueel door middel van garbage data een overflow worden gecreëerd waar vanaf een bepaalde lengte commando's kunnen worden uitgevoerd.
karma4 12 januari 2024 11:01
Laten we het eenvoudig houden. De zoveelste succesvolle supply-chain aanval.
Als je de hoofd toegangsdeur open krijgt (VPN) dan is die beveiliging weg.
De vraag hoort te zijn waarom dat de enige actieve beveiliging is.

Het lateraal bewegen is een andere probleem wat niet mogelijk zou moeten zijn.
ArcticWolf 12 januari 2024 11:04
Wij zijn toevallig net aan het overstappen van Ivanti naar Microsoft Intune en moet zeggen dat het wel een verademing is hoeveel sneller alles werkt.
evilution @ArcticWolf12 januari 2024 12:13
Nou ja, behalve als ze een update draaien die er voor zorgt dat je geen verbinding meer hebt en maar "even" naar HQ moet komen om je laptop weer om te ruilen omdat dat niet op afstand op te lossen is...
ArcticWolf @evilution12 januari 2024 13:48
Herkenbaar maar dat was met Ivanti ook helaas.
telenut @ArcticWolf12 januari 2024 14:34
Zal het hier ook eens voorstellen :-)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq