Een aantal jaren geleden hebben hackers het netwerk van vpn-leverancier Pulse Secure gehackt via een kwetsbaarheid in de eigen vpn-software van het bedrijf. De aanval werd pas opgemerkt in 2021, nadat Pulse Secure in 2020 door Ivanti was overgenomen, zo meldt Bloomberg op basis van bronnen. Ivanti ontkent dat het netwerk gehackt is geweest. Volgens Bloomberg wisten de aanvallers via de gebruikte kwetsbaarheid uiteindelijk 119 organisaties die van Pulse Secure gebruikmaakten te compromitteren.

In een uitgebreid artikel beschrijft Bloomberg dat de private equite eigenaren van Ivanti in 2020 Pulse Secure overnamen, wat vooral bekend is van de Pulse Secure vpn-oplossing die het biedt. Ivanti besloot de vpn-oplossing onder de naam Ivanti Connect Secure aan te bieden. Na de overname van Pulse Secure voerde Ivanti allerlei ontslagrondes en bezuinigingsmaatregelen door, die merkbare impact op de veiligheid van de software hadden, aldus Bloomberg op basis van documenten en voormalige medewerkers.

Kwetsbaarheden in Pulse Secure en daarna Connect Secure werden geregeld gebruikt bij aanvallen. Ivanti ontkent dat de bezuinigingsmaatregelen de veiligheid van de Connect Secure-producten in gevaar heeft gebracht. De vpn-software zou onder het beheer van Ivanti juist veiliger zijn geworden. Volgens het Amerikaanse cyberagentschap CISA zijn er de afgelopen jaren vijf kritieke kwetsbaarheden in Connect Secure actief gebruikt bij aanvallen.

Hack van Pulse Secure

Het artikel van Bloomberg meldt ook dat Ivanti in februari 2021 ontdekte dat Chinese hackers de interne it-systemen van Pulse Secure hadden gehackt. De hack had plaatsgevonden voordat Pulse Secure door Ivanti werd overgenomen. Bloomberg stelde in een eerste versie van het eigen artikel dat de aanvallers een backdoor aan de vpn-software hadden toegevoegd. Op 20 februari werd het artikel aangepast, waarin nu wordt gemeld dat aanvallers kwetsbaarheden in de Pulse Secure vpn-software gebruikten om toegang tot het netwerk te krijgen en vervolgens een backdoor installeerden. De aanvallers zouden geen toegang tot gevoelige informatie hebben gekregen en de hack raakte ook geen klanten, aldus de bronnen tegenover Bloomberg.

Dezelfde kwetsbaarheid werd uiteindelijk gebruikt om 119 andere organisaties te compromitteren die van de vpn-software gebruikmaakten, zo laten de bronnen verder weten. Het zou onder andere gaan om defensiebedrijven in Europa en de Verenigde Staten. Zowel de hack van Pulse Secure als het aantal klanten dat ook slachtoffer werd zijn volgens Bloomberg niet eerder openbaar gemaakt. Ivanti stelt in een reactie dat het verhaal van Bloomberg niet klopt en het netwerk niet gehackt is geweest. Ivanti kwam onlangs nog in het nieuws vanwege een actief misbruikt kritiek lek in Ivanti EPMM-server. Het bedrijf kwam op 29 januari dit jaar met een patch voor het probleem, maar volgens de Duitse overheid wordt het beveiligingslek al sinds de zomer van vorig jaar misbruikt bij aanvallen.

Update

In een reactie tegenover Security.NL laat een woordvoerder van Ivanti het volgende weten: "Een recent artikel van Bloomberg bevat een onjuiste bewering dat “Chinese hackers” in 2021, kort na de overname door Ivanti, de interne IT-systemen van Pulse hebben gecompromitteerd. Zoals we Bloomberg vóór publicatie hebben meegedeeld: Ivanti heeft geen bewijs dat “Chinese hackers” in 2021 de interne IT-systemen van Pulse of Ivanti hebben gecompromitteerd. Doordat een ‘hack’ als deze niet heeft plaatsgevonden, kan het niet worden benoemd. We wensen/willen nadrukkelijk duidelijk maken dat Pulse Secure en Ivanti nooit Connect Secure-software hebben geleverd met een kwaadaardige backdoor die klanten en gebruikers kunnen schaden."

Update 2 Bloomberg heeft het originele artikel aangepast. Hierop is ook de titel en inhoud van dit artikel aangepast.