Het Amerikaanse cyberagentschap CISA waarschuwt organisaties voor 'slapende' malware op hun Ivanti vpn-servers. Een jaar geleden kwam het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security al met een waarschuwing voor de Resurge-malware, maar is nu met een update over deze malware gekomen.

Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Voor de installatie van de malware maken aanvallers misbruik van een kwetsbaarheid genaamd CVE-2025-0282, waarmee ze toegang tot de vpn-servers krijgen. Toen Ivanti vorig jaar januari voor dit beveiligingslek waarschuwde en met een patch kwam, werd er al actief misbruik van het probleem gemaakt. Zodra de aanvallers toegang tot de vpn-server hebben installeren ze de Resurge-malware, aldus het CISA.

De Resurge-malware creëert een webshell zodat de aanvallers toegang tot de vpn-server behouden. Via de webshell is het ook mogelijk om inloggegevens te stelen, accounts aan te maken, wachtwoorden te resetten en rechten te verhogen. Een andere eigenschap van de malware is dat die de webshell naar de draaiende boot disk kopieert en vervolgens de draaiende coreboot image manipuleert. De malware manipuleert onder andere de integriteitscontroles van het systeem, zodat de aanwezigheid niet wordt opgemerkt.

In een update over de Resurge-malware laat het CISA weten dat de malware latent op systemen actief kan blijven, totdat aanvallers verbinding met de gehackte vpn-server maken. Het CISA denkt dan ook dat de Resurge-malware nog ongemerkt op Ivanti vpn-servers aanwezig is en zo een actieve bedreiging blijft vormen. Organisaties worden dan ook opgeroepen om aan de hand van beschikbare Indicators of Compromise (IoC's) hun Ivanti-systemen te controleren.