Twee zerodaylekken in Ivanti Connect Secure VPN waarvoor nog geen beveiligingsupdate beschikbaar is worden op grote schaal misbruikt, waarbij al zeker zeventienhonderd systemen zijn gecompromitteerd, zo laat securitybedrijf Volexity weten. Een workaround die systemen moet beschermen is er wel, maar op bijna zevenduizend systemen is die niet doorgevoerd, aldus de Shadowserver Foundation.

Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Via de zerodaylekken worden er webshells op het vpn-systeem geïnstalleerd, waarmee er toegang tot het gecompromitteerde systeem wordt behouden en verdere aanvallen mogelijk zijn. Daarnaast bleek dat de aanvallers logbestanden op het systeem hadden verwijderd en logging hadden uitgeschakeld.

De zerodays (CVE-2023-46805 en CVE-2024-21887) zijn voor zover bekend al sinds december gebruikt voor het aanvallen van organisaties, waarbij deze eerste aanvallen aan één groep worden toegeschreven. Sinds de bekendmaking van de kwetsbaarheden is het aantal aanvallen sterk gestegen. Daarbij maken nu ook verschillende andere groepen aanvallers misbruik van het beveiligingslek. Volgens de Shadowserver Foundation zijn er zeventienduizend Connect Secure VPN-systemen op internet te vinden, waarvan er 6800 de tijdelijke workaround niet hebben doorgevoerd.

Organisaties die de beschermingsmaatregel nog niet hebben doorgevoerd worden opgeroepen om dit meteen te doen en de ingebouwde Integrity Check Tool te draaien om de aanwezigheid van malware te detecteren. Ivanti heeft aangegeven de eerste updates in de week van 22 januari beschikbaar te maken, waarbij de laatste versie voor de week van 19 februari gepland staat.