Kwaadwillenden buiten kwetsbaarheden in Ivanti ConnectSecure VPN (CS), voorheen bekend als Pulse Secure, en Ivanti Policy Secure (PS) appliances actief uit, waarschuwt Mandiant. Het beveiligingsbedrijf dat onderdeel uitmaakt van Google Cloud meldt dat een groot deel van deze aanvallen geautomatiseerd wordt uitgevoerd.

Mandiant publiceerde op 12 januari een blogpost waarin het informatie deelt over twee zerodaykwetsbaarheden in Ivanti CS en PS: CVE-2023-46805 en CVE-2024-21887. Ivanti waarschuwde een dag eerder al voor uitbuiting van deze zerodaylekken. Het bedrijf deelde op 31 januari 2024 daarnaast informatie over twee aanvullende kwetsbaarheden in deze appliances: CVE-2024-21888 en CVE-2024-21893. In alle gevallen stellen de kwetsbaarheden aanvallers in staat met verhoogde rechten willekeurige code uit te voeren op appliances.

Mandiant meldde eerder al dat de kwetsbaarheden al sinds 3 december 2023 actief worden uitgebuit. Deze aanvallen schrijft het beveiligingsbedrijf toe aan UNC5221, een Chinese actor die zich richt op cyberspionage. Ook andere aanvallers maken echter inmiddels gebruik van de kwetsbaarheden. Mandiant meldt ook dat een significant deel van de aanvallen geautomatiseerd wordt uitgevoerd.

In een aanvullende analyse deelt Mandiant meer details over deze aanvallen. Het bedrijf zet onder meer uiteen hoe diverse webshells worden gebruikt voor het uitbuiten van de kwetsbaarheden. Zo licht Mandiant toe hoe aanvallers met behulp van een op maat gemaakte webshell genaamd BUSHWALK maatregelen omzeilen die Ivanti heeft genomen om uitbuiting tegen te gaan. Het gebruik van BUSHWALK is volgens Mandiant momenteel nog zeer beperkt, waarbij de webshell vooral wordt ingezet voor het uitvoeren van gerichte aanvallen.