Al ruim tweeduizend Ivanti Connect Secure VPN-appliances zijn via een zerodaylek besmet geraakt met een backdoor. Een beveiligingsupdate is nog niet beschikbaar, maar wel een mitigatie. Niet alle organisaties blijken die op de juiste manier toe te passen, waardoor ze opnieuw besmet raken, zo meldt securitybedrijf Volexity.

Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Twee zerodaylekken in de vpn-oplossing, CVE-2023-46805 en CVE-2024-21887, maken het mogelijk voor ongeauthenticeerde aanvallers om eerst de authenticatie te omzeilen en daarna willekeurige commando's op het apparaat uit te voeren. Zo is het mogelijk om een webshell te installeren en toegang tot het apparaat te behouden en verdere aanvallen uit te voeren.

Volexity heeft een webshell die het GiftedVisitor noemt inmiddels op meer dan 2100 gecompromitteerde Ivanti-apparaten aangetroffen. Ivanti heeft aangegeven dat het de komende weken met updates komt. Als tijdelijke oplossing is er een mitigatie beschikbaar om systemen te beschermen. Het is wel belangrijk dat die op het juiste moment wordt doorgevoerd. Volexity zegt dat het van meerdere organisaties weet waarbij een schone Ivanti vpn-appliance werd uitgerold waarop de mitigatie was doorgevoerd, maar die opnieuw besmet raakte.

Verder onderzoek wees uit dat deze organisaties eerst de mitigatie hadden doorgevoerd en daarna een back-up van de configuratiebestanden terugplaatsten. Daarmee wordt de mitigatie ongedaan gemaakt. Organisaties moeten dan ook eerst de back-up van de configuratie terugzetten en daarna pas de mitigatie toepassen. De zerodays worden al zeker sinds december door een groep aanvallers gebruikt. Inmiddels is er echter sprake van grootschalig misbruik, waarbij Volexity ook rekening houdt met ransomware-aanvallen.