Ivanti heeft de eerste updates uitgebracht voor twee zerodaylekken in Connect Secure VPN die op grote schaal worden misbruikt. De Amerikaanse overheid meldt dat aanvallers er inmiddels in zijn geslaagd om de eerder aangeraden mitigaties en detectiemethodes te omzeilen. Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen.

Twee zerodaylekken in de vpn-oplossing, CVE-2023-46805 en CVE-2024-21887, maken het mogelijk voor ongeauthenticeerde aanvallers om eerst de authenticatie te omzeilen en daarna willekeurige commando's op het apparaat uit te voeren. "Aanvallers blijven kwetsbaarheden in Ivanti Connect Secure en Policy Secure Gateways misbruiken om inloggegevens te onderscheppen en webshells te installeren om zo bedrijfsnetwerken verder te compromitteren", stelt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.

Het CISA gaf eerder nog een noodbevel af wegens het grootschalige misbruik van de kwetsbaarheden. Op 10 januari kwam Ivanti met een waarschuwing voor de beveiligingslekken, die al zeker sinds december door een groep aanvallers worden misbruikt. Drie weken lang waren er geen updates voor het probleem beschikbaar, maar wel mitigaties die bescherming zouden moeten bieden. Het CISA laat weten dat aanvallers erin zijn geslaagd om de huidige mitigaties en detectiemethodes te omzeilen.

Er zijn verschillende versies van de kwetsbare software en Ivanti heeft nu voor Connect Secure (versies 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 en 22.5R1.1) en ZTA versie 22.6R1.3 updates uitgebracht. De komende weken zullen er ook patches voor andere versies verschijnen. Het CISA adviseert organisaties om ook na het installeren van de updates hun netwerk op de aanwezigheid van aanvallers te controleren, aangezien die mogelijk al toegang hebben gekregen voordat de patches werden geïnstalleerd.