Ivanti VPN Zero-Day-Exploit treft wereldwijde bedrijfsnetwerken

Posted on January 9, 2025
Ivanti, een softwarebedrijf uit de Verenigde Staten, heeft een kritieke zero-day-kwetsbaarheid onthuld in zijn veelgebruikte VPN-oplossingen voor bedrijven, waaronder Connect Secure, Policy Secure en ZTA Gateways. De kwetsbaarheid, geïdentificeerd als CVE-2025-0282, stelt aanvallers in staat om zonder authenticatie op afstand schadelijke code in te voegen. Dit incident benadrukt opnieuw de voortdurende veiligheidsuitdagingen waarmee de producten van het bedrijf worden geconfronteerd, die wereldwijd in verschillende sectoren worden gebruikt.

De kwetsbaarheid werd ontdekt door Ivanti’s Integrity Checker Tool (ICT), dat verdachte activiteiten op klantapparaten detecteerde. Ivanti heeft bevestigd dat een “beperkt aantal klanten” is getroffen. Terwijl een patch voor Connect Secure al beschikbaar is, worden updates voor Policy Secure en ZTA Gateways pas op 21 januari verwacht. Bovendien heeft Ivanti een tweede kwetsbaarheid onthuld, CVE-2025-0283, die nog niet is uitgebuit.

Het cybersecuritybedrijf Mandiant, dat de kwetsbaarheid samen met onderzoekers van Microsoft ontdekte, vermoedt dat de aanval verband houdt met een China-gebaseerde cyberspionagegroep, bekend als UNC5337 en UNC5221. Deze groep was eerder al gekoppeld aan zero-day-aanvallen op Ivanti-producten in 2024. Mandiant meldde dat de zero-day-kwetsbaarheid waarschijnlijk al halverwege december 2024 is uitgebuit.

Ben Harris, CEO van watchTowr Labs, beschreef het incident als een voorbeeld van een “Advanced Persistent Threat” (APT) gericht op missie-kritieke systemen. Harris benadrukte de urgentie van het aanpakken van de kwetsbaarheid en wees op de brede impact op getroffen organisaties.

De kwetsbaarheid heeft reacties uitgelokt van internationale cybersecurityagentschappen, waaronder de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Britse National Cyber Security Centre (NCSC). Beide organisaties hebben waarschuwingen uitgegeven en onderzoeken actief gevallen van uitbuiting in hun respectieve regio’s. CISA heeft de kwetsbaarheid toegevoegd aan zijn catalogus van bekende geëxploiteerde kwetsbaarheden, wat de ernst ervan verder benadrukt.

Ivanti blijft werken aan het beveiligen van zijn systemen en dringt er bij klanten op aan om de beschikbare patch voor Connect Secure onmiddellijk toe te passen. Het bedrijf adviseert ook verbeterde monitoring en proactieve maatregelen om de risico’s van deze kritieke kwetsbaarheid te verminderen.

Source: TechCrunch

De European Cyber Intelligence Foundation is een non-profit denktank gespecialiseerd in inlichtingen en cybersecurity en biedt adviesdiensten aan overheidsinstanties. Om potentiële bedreigingen te beperken, is het belangrijk om aanvullende cybersecuritymaatregelen te implementeren met behulp van een betrouwbare partner zoals INFRA www.infrascan.net, of je kunt zelf proberen met check.website.