Je browser is verouderd en geeft deze website niet correct weer. Download een moderne browser en ervaar het internet beter, sneller en veiliger!

Meerdere kwetsbaarheden in software van Ivanti (update!)

Uitroepteken in gevarendriehoek

Z-CERT waarschuwt voor kwetsbaarheden in Ivanti Connect Secure en Policy Secure Gateways. Ivanti Connect Secure, voorheen ook wel bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Deze vpn-software wordt ook in de zorg gebruikt.

Op 16 januari 2024 heeft Ivanti bevestigd dat zij misbruik hebben waargenomen bij meerdere klanten van Ivanti. Ook door beveiligingsonderzoekers van Volexity is misbruik waargenomen.

De kwetsbaarheden (CVE-2024-21887 en CVE-2023-46805) stellen een kwaadwillende in staat om op afstand zonder inloggegevens willekeurige code uit te voeren met administrator rechten.

Onderzoekers van Rapid7 hebben inmiddels een proof of concept van de exploit gepubliceerd.

Wat moet u doen?

Ivanti zou aanvankelijk in de week van 22 januari patches uitbrengen, maar dat werd een week uitgesteld. Inmiddels heeft Ivanti de volgende patches voor Ivanti Connect Secure en Policy Secure Gateways vrijgegeven:

  • Ivanti Connect Secure versies 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 en 22.5R1.1
  • Ivanti ZTA versie 22.6R1.3

Op het moment van schrijven (31 januari 2024) zijn er nog geen patches beschikbaar voor Policy Secure en andere versies van Ivanti Connect Secure dan hierboven weergegeven.

Daarnaast meldt CISA dat er misbruik van Ivanti-instances waargenomen is waarbij de mitigatie van 10 januari 2024 omzeild wordt. CISA adviseert te monitoren op afwijkend verkeer.

Ivanti maakt ook melding van een nieuwe kwetsbaarheid. Voor deze kwetsbaarheid heeft Ivanti mitigerende maatregelen beschikbaar gesteld. Als de patch is doorgevoerd is het niet nodig om deze mitigerende maatregelen toe te passen.

Z-CERT raadt aan om te controleren op misbruik en de mitigerende maatregel toe te passen. Ivanti adviseert bovendien om na mitigatie geen configuratiewijzigingen naar Ivanti-apparaten of -VM’s te pushen, omdat dit de mitigatie ongedaan kan maken.

Kijk voor meer informatie op het forum of het blog van Ivanti.

Update 31 januari 2024: informatie toegevoegd over beschikbare patches van Ivanti en een nieuwe kwetsbaarheid.

Update 29 januari 2024: Nieuwe informatie van Ivanti over updates toegevoegd.

Update 17 januari 2024: informatie over proof of concept toegevoegd.