Ivanti waarschuwt opnieuw voor zeroday in Connect Secure-vpn

Ivanti heeft een patch uitgebracht voor twee nieuwe kwetsbaarheden in zijn Connect Secure-vpn. Aanvallers misbruiken een van die bugs actief, zegt het bedrijf, dat eerder deze maand ook al een noodpatch uitbracht.

Ivanti waarschuwt in een blogpost voor twee kwetsbaarheden in Connect Secure en in Policy Secure Gateways. Dat zijn een privilege escalation-bug die wordt getrackt als CVE-2024-21888 en een server side request forgery, CVE-2024-21893. Die eerste wordt volgens het bedrijf niet actief misbruikt, maar de tweede wel. Met die forgery-bug is het mogelijk om bepaalde afgeschermde informatie zonder authenticatie toch uit te kunnen lezen.

Ivanti waarschuwt dat 'een klein aantal klanten' door de bug getroffen wordt, maar deelt verder geen informatie over de concrete uitbuiting. Het bedrijf verwacht dat de aanvallers snel meer systemen zullen uitbuiten nu de informatie publiek is gemaakt.

Het is de tweede keer in korte tijd dat Ivanti door een zeroday wordt getroffen. Eerder deze maand gebeurde dat ook al. Ivanti ontdekte de nieuwe bugs toen het onderzoek deed naar de eerdere zerodays, maar het bedrijf zegt niet of de twee gelinkt zijn aan elkaar.

Ivanti heeft een patch uitgebracht. Dat zijn versies 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 en 22.5R1.1 voor Connect Secure en 22.6R1.3 voor het cloudpakket ZTA. Ivanti raadt klanten aan hun gateways terug te zetten naar de fabrieksinstellingen voordat zij de patch doorvoeren, om zeker te weten dat aanvallers hun persistence verliezen.

Reacties (29)

MastaG 31 januari 2024 19:58

Ivanti Connect Secure, Fortigate etc.. zijn hier geen open-source alternatieven voor?
Kun je niet uit de voeten met OpenVPN met een leuke schil eromheen?

Cergorach

Beveiliging en antivirus

@MastaG • 31 januari 2024 20:14

Open source in een zakelijke (Enterprise) omgeving is een mes dat aan twee kanten snijd. Ik kom te vaak tegen dat documentatie niet up-to-snuff is, denk aan bv. exclusions voor een AV/EDR oplossing (als het lokaal wordt geinstalleerd), er is geen support. Wil je wel support, dan kan je naar de hopelijk paar specialistische bedrijven die dat aanbieden en dan nog heb je een enorme kostenpost.

Daarnaast heeft OpenVPN ook gewoon een berg CVEs, 47 om precies te zijn voor 1 product, Ivantie heeft er 159 voor hun hele range...

Het grote nadeel bij Ivanti is dat ze in afgelopen twee maanden 19 CVEs hebben met een 9+ severity. Dat betekend trouwens niet dat ze er niet zijn op OpenVPN, maar dat ze gewoon nog niet zijn gevonden. Het is het oude argument van geen virussen op de Mac, ten eerste waren ze er wel gewoon, alleen niet zoveel als op Windows, maar toen het marktaandeel Mac drastisch groeide veranderde die hoeveelheid ook drastisch.

Bron:
https://www.cvedetails.co...ndor_id-3278/Openvpn.html
https://www.cvedetails.co...ndor_id-17398/Ivanti.html

d3burt

@Cergorach • 1 februari 2024 17:56

OpenVPN is een tool wat één ding doet, en dat is een stuk makkelijker goed te schrijven en te testen dan een veel complexer product als het voormalige Pulse Secure. Bovendien lijkt het er erg op dat bij Pulse Secure onvoldoende is nagedacht over het scheiden van administratie en netwerk functionaliteit, waardoor er een veel groter aanvalsoppervlak is dan bij OpenVPN. Als je de admin interface van OpenVPN wilt hacken moet je eerst door de netwerklaag heen. Kijkend naar de rapportage over de eerste zeroday door Volexity, dan valt het op dat er meerdere codepaden zijn naar de admin zijde die te misbruiken zijn zonder filtering door de netwerklaag.

Wat hier ook niet meehelpt is de geslotenheid van Connect Secure, wat de verdedigers in dit geval duidelijk op achterstand zet.

Oh, nog een voordeel van OpenVPN en WireGuard: door hun eenvoudigheid zit je niet met geknepen billen als je een security patch doorvoert.

CivLord

@MastaG • 1 februari 2024 12:38

Ivanti Connect Secure, Fortigate etc.. zijn hier geen open-source alternatieven voor?

Want open source kent geen kwetsbaarheden omdat het door onbaatzuchtige programmeurs bij maanlicht wordt ontwikkeld?

PolarBear @CivLord • 1 februari 2024 13:33

Zelfs al wordt het door onbaatzuchtige programmeurs bij maanlicht ontwikkeld, dan nog worden er fouten gemaakt. En als je de code open source released is het idee dat iedereen het kan checken. Maar ja wat als niemand dat doet. Of niemand met voldoende kennis. Een code review doen op een diepgaand niveau is echt lastig, dat kunnen maar (relatief) weinig programmeurs. Zeker niet voor complexe VPN software.

nout77 @PolarBear • 1 februari 2024 23:33

Misschien eerst even verdiepen in OpenVPN voordat je dit hier neerzet?
Dit is weer zo'n standaard reactie op open source wat gewoon niet klopt!

OpenVPN is een commercieel bedrijf wat een gratis open source community edition uitgeeft. De betaalde versie (Access Server) is ook open source, je betaalt voor de support.
Direct vanaf het begin (ruim 20 jaar geleden) hebben ze zich al gericht op b2b:
https://openvpn.net/blog/the-history-of-openvpn

Er worden voor elke uitgebrachte versie niet alleen interne volledig getest maar ook externe pentesting, vulnerability scans, bug bounty programs en code auditing.
https://openvpn.net/openvpn-compliance/
En:
https://openvpn.net/blog/...stifs-bug-bounty-program/

Vanaf de grond opgebouwd met als doel: een veilige verbinding over onveilige netwerken maken.
Interessant artikel: https://www.techradar.com/vpn/what-is-openvpn

Gevonden kwetsbaarheden van enkele jaren terug:
https://www.security.nl/p...ere+beveiligingslekken+op
De kwetsbaarheden die hier gevonden zijn, zijn van een veel hoger niveau. Het hele framework en protocol zit gewoon beter in elkaar. Dit zijn geen simpele cross side scripting bugs in een admin interface van je vpn pakket zoals bij Ivanti of een andere concurrent zoals Fortinet het geval.

Recente Ivanti Connect Secure vulnerabilities:
CVE-2023-46805: An authentication-bypass vulnerability with a CVSS score of 8.2
CVE-2024-21887: A command-injection vulnerability found in multiple web components with a CVSS score of 9.1
https://www.splunk.com/en...-auth-bypass-and-rce.html

maevian @MastaG • 31 januari 2024 20:13

Ja, maar die opensource alternatieven hebben dan zo geen zaken zoals SAML integratie

markjanssen @maevian • 31 januari 2024 21:06

Jawel hoor.... hier gebruiken we Eduvpn / LetsConnect vpn, een open-source oplossing o.a. gesponsored door Surf, en die heeft ldap/AD/Saml/OIDC koppelingen.

Werkt heerlijk, en heeft ook open-source clients voor alle platformen en support wireguard in de recente versies.

maevian @markjanssen • 1 februari 2024 11:05

Bedankt, ziet er wel interessant uit.
Ik denk voorlopig wel bij Forticlient te blijven, aangezien we daarop support hebben en ik dan geen extra VM moet onderhouden.
Op de website zie ik enkel een .exe, hebben ze ook een MSI? Maakt deployen via intune wat eenvoudiger.
Heeft deze always on functionaliteit? Kan ik ook de client config via intune deployment doen? (voor de forticlient schrijf ik nu paar zaken naar registry in het install script zodat die voor elke user staat geconfigureerd)

markjanssen @maevian • 1 februari 2024 14:53

Geen idee, ik heb en beheer 0 windows machines.... Alles hier draait op Debian / Ubuntu en onze clients hebben Linux/Mac/Windows/Android/IOS, maar dat valt buiten ons beheer

Op de clients is het een kwestie van het package installeren (in mijn geval een .deb-je)

maevian @markjanssen • 1 februari 2024 17:53

Ja, maar ga het niet manueel op elke computer installeren.
Als het niet allemaal automatisch kan zonder gebruikers interactie, is het voor ons geen goede oplossing

markjanssen @maevian • 1 februari 2024 18:45

Ze hebben zo te zien ook een MSI package... had je ook met 1 google search kunnen vinden:
https://app.eduvpn.org/ .. en staan op de releases-page naast de exe's / zips

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@maevian • 31 januari 2024 21:36

Dat hebben sommige wel. Of iets open source is of niet zegt werkelijk niets over de features van een product. Ook in de open source wereld is SAML (natuurlijk) gewoon bruikbaar.

PolarBear @Bor • 1 februari 2024 13:21

Net zoals Open Source ook niets zegt over de veiligheid. Als uiteindelijk niemand met echte diepgaande kennis de code reviewt blijven zero days net zo hard mogelijk.

GeroldM @maevian • 1 februari 2024 06:36

Authentik?

Is open source en schijnt wel SAML integratie te hebben.

maevian @GeroldM • 1 februari 2024 10:56

En hoe gebruik ik dan authentik dan voor authenticatie voor je VPN? En dat is dan weer een extra software pakket dat ik moet opzetten en onderhouden.

roelboel @MastaG • 31 januari 2024 20:58

Doe jezelf en anderen een plezier en vergeet OpenVPN zo snel mogelijk, en denk voortaan: WireGuard.

BvdW1978 @roelboel • 1 februari 2024 15:52

Want?

roelboel 31 januari 2024 19:21

Het valt me op dat corporate VPN’s/firewalls stikken van de beschamende 0-days. Dit product, maar ook bijvoorbeeld Fortinet. Bruto levert het je als bedrijf een vinkje op in je SOC2 audit en veiligheidstheater, netto maakt het je alleen maar kwetsbaar.

magnifor @roelboel • 31 januari 2024 20:16

Maak je maar geen zorgen er zijn zat zerodays die de normale mens nog niet het daglicht hebben gezien maar wel worden ingezet door overheden etc. En wie zegt dat de huidige ontdekte zerodays niet al een tijdje in gebruik zijn voor hackers en/of overheden. VPN bedrijven zijn echt niet de enige, ik denk dat ieder software/OS wel lekken bevat.

c-nan @magnifor • 31 januari 2024 23:40

Welke overheidsorganen zijn dat dan? Ik probeer me er een beeld bij voor te stellen. Justitie en Veiligheid? Hebben ze hackers in dienst, maar niemand die het weet? Of hoe werkt dat

magnifor @c-nan • 1 februari 2024 00:04

Lees het boek “Het is oorlog maar niemand die het ziet” maar eens. Ook Countdown to Zeroday van Kim Zetter is een aanrader. Een recent bewezen voorbeeld is de EternalBlue exploit. 5 jaar gebruikt door de NSA en pas toen de hacktools waren uitgelekt hebben ze Microsoft geïnformeerd: https://nordvpn.com/blog/...%20XP%20and%20Windows%207.

Daarnaast zijn er bedrijven die specialistische software en apparatuur aanbieden om je telefoon te kraken / bespioneren. Cellebrite en NSO groep zijn twee bekenden en reken maar dat die gebruik maken van lekken die zelfs bij de Apple en Google nog niet bekend zijn. Het is en blijft een kat en muisspel.

c-nan @magnifor • 1 februari 2024 12:13

Dat boek heb ik en heb ik ook gelezen.

Het gaat mij om de Nederlandse overheid, wat de Amerikanen allemaal doen en uithalen is inmiddels wel bekend.

Ik geloof de bewering "zat zerodays die de normale mens nog niet het daglicht hebben gezien maar wel worden ingezet door overheden" niet als het om de Nederlandse overheid gaat.

Ik ken geen enkel geval waar de Nederlandse overheid beschikte over een zeroday en er ook gebruik van maakte.

magnifor @c-nan • 1 februari 2024 12:39

Ja dat krijg je dus niet te horen omdat het dan zogenaamd lopende operaties in gevaar brengt, maar het is waarschijnlijk dat de Nederlandse overheid Pegasus heeft aangeschaft en dus aannemelijk dat er wel een aantal zerodays in het arsenaal zitten.

_Pussycat_ @magnifor • 1 februari 2024 16:10

Je brengt het als feiten maar hebt geen enkel bewijs behalve "ik weet het echt wel zeker, maar daar mag niets over gezegd worden".

Ik heb ook wel eens vermoedens, maar die hoef ik niet als feiten te presenteren.

Skinnyice @roelboel • 31 januari 2024 19:24

Aangezien praktisch elk bedrijf met IT in huis wel een firewall gebruikt en die VPN letterlijk de voordeur kan zijn naar het interne netwerk zijn deze producten erg aantrekkelijk voor aanvallers/hackers. Als ik aan de verkeerde kant van de wet zou zitten zou ik ook al mijn resources steken in het vinden van gaten in dat soort producten. Voor ransomware groepen is dit goud geld verdienen door dit soort zerodays.

GertMenkel

Beveiliging en antivirus

@Skinnyice • 31 januari 2024 20:04

Aan de ene kant wel, maar aan de andere kant vind ik de fouten die worden gemaakt bij veel firewalls toch wel bedroevend slecht.

Edit: onderstaand verhaal gaat over nog een beveiligingsbug die dit jaar gerapporteerd werd, ik kan niks vinden over de CVE die hier genoemd wordt. De CVE die privilege escalation toestaat wordt op andere plekken aan Microsoft Edge toegeschreven, dus ik denk dat daar wat onduidelijk over is. Toch blijf ik hier bij mijn standpunt.

In dit specifieke geval gaat het om een verzoek naar /api/v1/totp/user-backup-code/%2E%2E/%2E%2E/system/maintenance/archiving/cloud-server-test-connection (bron) met als JSON-inhoud een argument op een commandoregel die wordt uitgevoerd. Los van dat de path traversal ("%2E%2E" is natuurlijk "..") natuurlijk al lang door middleware had moeten zijn voorkomen, is dit een duidelijk gevalletje van "exec() zonder enige vorm van input sanitisation" aangezien een simpele puntcomma voldoende is om een commandoregel naar keuze uit te voeren.

Ieder stuk software bevat (beveiligings)fouten maar het ontwerp van de software zou fouten van dit kaliber niet moeten toestaan, in elk geval niet voor beveiligingssoftware. Een firewall kan natuurlijk RCE's en andere beveiligingsfouten bevatten, maar dit soort fouten zouden anno 2024 niet meer mogen bestaan.

[Reactie gewijzigd door GertMenkel op 22 juli 2024 14:51]

kodak

Beveiliging en antivirus

@Skinnyice • 1 februari 2024 14:12

Het probleem dat beveiligingsapparstuur aantrekkelijk is om misbruik van proberen te maken gaat net zo goed op voor mogelijkheden in het algemeen. Criminelen zijn opportunistisch, dus dat is op zich geen excuus dat er veel beveiligingsproblemen zijn. Het is eerder een slap excuus.

Dat bugs bestaan is bijna niet te voorkomen. Bij professionele ontwikkeling is het aantal security bugs al een stuk minder, niet alleen bij beveiligingsproducten. Maar bij een bedrijf dat beveiligingsproducten verkoopt horen ernstige security bugs, zoals remote code execution of niet hoeven te authenticeren voor hoge rechten, uitzonderingen te zijn. Je koopt immers niet een willekeurig product maar een beveiligingsproduct dat je juist niet alleen hoort te beschermen maar ook beter hoort te beschermen. En als er dan langere tijd achter elkaar verschillende ernstige security bugs blijken te zijn, dan ligt dat niet zomaar vooral aan de researchers of criminelen. Dan lijkt er eerder een gebrek aan professionele ontwikkeling te zijn. Waarbij het dan eerder redelijk zou zijn als men professionaliteit van ernstige security bugs proberen te voorkomen aantoonbaar maakt, maar ook dat lijkt men niet te doen. Dat zijn meerdere negatieve eigenschappen die op een bedrijf zelf van toepassing zijn, en niet op de vele researchers of criminelen.

Dus in plaats van het makkelijk op anderen af te schuiven dat de ernstige security bugs te vaak voorkomen lijkt het eerder redelijk de bedrijven die het verkopen verantwoordelijk te houden als er meerdere ernstige security bugs zijn. Zeker als er ook nog langere tijd verschillende zijn. Anders kan je net zo goed een willekeurig product gaan gebruiken alsof dat je risico's vermindert.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@roelboel • 31 januari 2024 21:13

Het valt me op dat corporate VPN’s/firewalls stikken van de beschamende 0-days. Dit product, maar ook bijvoorbeeld Fortinet. Bruto levert het je als bedrijf een vinkje op in je SOC2 audit en veiligheidstheater, netto maakt het je alleen maar kwetsbaar.

Je generaliseert hier behoorlijk. In andere producten komen ook kwetsbaarheden voor en in sommige gevallen delen open source producten kwetsbaarheden met corporate producten op dit vlak.

Daarbij "hoge bomen vangen veel wind", met andere woorden; een lek in een product van een grote naam is nieuws. Een lek in een kleiner product is ook belangrijk maar wordt vaak niet zo groot in de media uitgemeten.

En welk alternatief zie jij voor remote toegang en firewalling waar men nooit last heeft van security lekken?

Een "vinkje op je SOC2 audit" levert je dit ook niet op.

Gaat het niet mede om hoe een bedrijf met eventuele fouten in de soft- en hardware omgaat? Dat is minstens zo belangrijk of misschien nog wel belangrijker. Fouten komen voor; het is hoe snel je met een oplossing komt wat telt.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (29)

Sorteer op:

Weergave: