Nieuws
image

Overheid VS geeft noodbevel af wegens grootschalige Ivanti VPN-aanvallen

zaterdag 20 januari 2024, 07:54 door Redactie, 4 reacties

De Amerikaanse overheid heeft een noodbevel afgegeven wegens grootschalige aanvallen waarbij misbruik wordt gemaakt van zerodaylekken in Ivanti Connect Secure en Ivanti Policy Secure. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security vormen de aanvallen een 'onacceptabel risico' voor de federale overheid en moeten overheidsorganisaties direct in actie komen.

Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Twee zerodaylekken in de vpn-oplossing, CVE-2023-46805 en CVE-2024-21887, maken het mogelijk voor ongeauthenticeerde aanvallers om eerst de authenticatie te omzeilen en daarna willekeurige commando's op het apparaat uit te voeren. Zo is het mogelijk om een webshell te installeren en toegang tot het apparaat te behouden en verdere aanvallen uit te voeren.

Ivanti heeft nog geen beveiligingsupdates beschikbaar gemaakt, maar er zijn wel mitigaties om systemen te beschermen. Gisteren liet securitybedrijf Volexity weten dat inmiddels meer dan 2100 Ivanti-systemen via de zerodays besmet zijn geraakt. In het geval van ernstige en aangevallen kwetsbaarheden kan het CISA een 'Emergency Directive' afgeven waarmee het overheidsinstellingen opdraagt maatregelen te nemen. Iets wat het nu ook voor de Ivanti-producten heeft gedaan.

Alle federale Amerikaanse overheidsinstanties zijn verplicht om de mitigatie voor maandagmiddag aanstaande door te voeren. Daarnaast moet er een scan worden uitgevoerd. Als blijkt dat het Ivanti-systeem is gecompromitteerd moet de overheidsinstantie dit melden bij het CISA en de systemen in kwestie uit het overheidsnetwerk halen. Verder geeft het CISA aanwijzingen voor het herstellen van besmette systemen, waaronder het wijzigen van het adminwachtwoord, intrekken van certificaten en resetten van API-keys. Verder zijn overheidsinstanties opgedragen om de patches binnen 48 uur te installeren zodra Ivanti ze beschikbaar heeft gesteld.

Reacties (4)
Reageer met quote
21-01-2024, 19:45 door Anoniem
Lachwekkend dat deze systemen op basis van 1 vulnerability uitgeschakelt moeten worden. Bliljkbaar hebben ze daar nog nooit van security architectuur gehoord!
Reageer met quote
22-01-2024, 08:33 door Anoniem
Door Anoniem: Lachwekkend dat deze systemen op basis van 1 vulnerability uitgeschakelt moeten worden. Bliljkbaar hebben ze daar nog nooit van security architectuur gehoord!

Ja, de boel open laten staan en er van uit gaan dat de andere security maatregelen het wel
opvangen is veel beter. :)
Reageer met quote
22-01-2024, 14:17 door Anoniem
Door Anoniem: Lachwekkend dat deze systemen op basis van 1 vulnerability uitgeschakelt moeten worden. Blijkbaar hebben ze daar nog nooit van security architectuur gehoord!
Afhankelijk van het risico. Ook als je meerdere lagen hebt, kan het zijn dat bij kritische zwakheden, je daardoor een security laag minder hebt en dat kan leiden to het afschalen of schakelen van een service. VPN verbindingen zou er een kunnen zijn. Dus niets vreemds m.i.
Reageer met quote
12-02-2024, 16:12 door Anoniem
Door Anoniem: Lachwekkend dat deze systemen op basis van 1 vulnerability uitgeschakelt moeten worden. Bliljkbaar hebben ze daar nog nooit van security architectuur gehoord!
Nix nieuws onder de zon, was met dat Netscaler drama destijds ook een groot ding. Alleen was het advies toen om de hele netscaler uit te zetten ipv alleen de Gateway functionaliteit uit te zetten. Voor gecombineerde Gateway/Loadbalancer appliances kan dat best vervelend worden.

De realiteit is dat je om de Client VPN zinvol te kunnen gebruiken daarna ook interne firewalls voor bepaald verkeer open moet zetten. Als iemand een shell op een VPN concentrator kan open zetten, dan kan ook de config gelezen worden en heb je dus de kennis en daarmee de technische mogelijkheid om client verkeer te emuleren en verder mee het netwerk binnen te dringen.

Wat "lachwekkender" is, is dat er blijkbaar een noodbevel nodig is om overheidsorganisaties tot actie te bewegen. Daar zou ik dan veel eerder wat van vinden...
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search