Deze liveblog bevat informatie over kwetsbaarheden in Ivanti Connect Secure VPN. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 18 januari 2024.
Update 18 januari 2024
14:30 | Op 16 januari heeft cybersecuritybedrijf Rapid7 een blogpost gepubliceerd met een gedetailleerde beschrijving van de kwetsbaarheid en hoe deze kan worden uitgebuit. Daarmee is er nu een publieke exploit beschikbaar. Eerder deze week werd een toename opgemerkt in de scanactiviteit voor kwetsbare installaties. Cybersecuritybedrijf Volexity heeft op 15 januari een blog gepubliceerd waarin ze beschrijven dat ze 1700 gecompromitteerde instanties hebben geïdentificeerd.
In onze initiële blog noemden we alleen Ivanti Connect Secure, maar ook Ivanti Policy Secure wordt getroffen door deze kwetsbaarheid. De patch-release-informatie voor dit product kan worden teruggevonden in onderstaande tabel.
| Versie | Product | Publicatie doel |
| 9.1R18x | Ivanti Policy Secure | Week van 22 januari |
| 22.5R1x | Ivanti Policy Secure | Week van 22 januari |
| 9.1R17x | Ivanti Policy Secure | Week van 22 januari |
| 22.4R1x | Ivanti Policy Secure | Week van 29 januari |
| 22.6R1x | Ivanti Policy Secure | Week van 29 januari |
| 9.1R16x | Ivanti Policy Secure | Week van 29 januari |
Uitbuiting van de kwetsbaarheid is zeer waarschijnlijk. Gecombineerd met het blootgestelde karakter van de getroffen oplossingen is deze kwetsbaarheid zeer kritiek en moet zo snel mogelijk worden verholpen.
Call to Action
- Pas de workaround toe;
- Draai de Integrity Checker tool;
- Pas de beveiligingspatch toe wanneer deze beschikbaar is.
Als er verdachte of kwaadaardige activiteiten worden gedetecteerd tijdens de scan met de Integrity Checker, of wanneer de workaround niet vóór 16 januari is toegepast, beschouw het apparaat dan als gecompromitteerd en neem contact op met T-CERT.
Het Tesorion Computer Emergency Response Team biedt 24/7 specialistische ondersteuning. In noodgevallen voeren we onmiddellijk een eerste telefonische beoordeling uit en doen we er alles aan om de situatie zo snel mogelijk onder controle te krijgen.
Update 11 januari 2024
12:30 | Op 10 januari heeft cybersecuritybedrijf Volexity een blog gepubliceerd waarin twee kwetsbaarheden worden beschreven in Ivanti Connect Secure VPN (voorheen bekend als Pulse Connect Secure). De eerste kwetsbaarheid is een authenticatie bypass kwetsbaarheid en heeft kenmerk CVE-2023-46805. De tweede kwetsbaarheid geeft een aanvaller de mogelijkheid voor command-injection en is geregistreerd als CVE-2024-21887.
Wanneer de twee kwetsbaarheden worden gecombineerd kan een aanvaller zonder authenticatie commando’s uitvoeren op het systeem. Dit stelt de aanvaller in staat configuratiedata te stelen, bestanden aan te passen, bestanden te downloaden of een reverse tunnel op te zetten van de Ivanti Connect Secure VPN appliance.
Uitbuiting van CVE-2023-46805 en CVE-2024-21887 is reeds waargenomen in het wild, maar code of instructies voor het uitbuiten zijn niet publiek beschikbaar. Ivanti heeft een workaround beschikbaar gesteld terwijl beveiligingspatches worden ontwikkeld. De workaround beperkt een aantal features van het product, het is dus raadzaam de impact hiervan te controleren voor het toepassen.
Ivanti heeft een planning gepubliceerd voor de publicatie van beveiligingspatches. Het is sterk aanbevolen om deze beveiligingspatches zo snel mogelijk te installeren, maar dit is niet voldoende voor volledige mitigatie. Ivanti en Volexity beschrijven beiden aanvullende stappen.
Aanleiding en achtergrond van deze blog
Deze blog bevat informatie over kwetsbaarheden, het mogelijke risico en advies om schade te voorkomen of beperken. Onderstaand staan de mogelijke risico’s, details en achtergrondinformatie.
Kwetsbaarheid informatie
Op 10 januari heeft cybersecuritybedrijf Volexity een blog gepubliceerd waarin twee kwetsbaarheden worden beschreven in Ivanti Connect Secure VPN (voorheen bekend als Pulse Connect Secure). De eerste kwetsbaarheid is een authenticatie bypass kwetsbaarheid en heeft kenmerk CVE-2023-46805. De tweede kwetsbaarheid geeft een aanvaller de mogelijkheid voor command-injection en is geregistreerd als CVE-2024-21887.
Wanneer de twee kwetsbaarheden worden gecombineerd kan een aanvaller zonder authenticatie commando’s uitvoeren op het systeem. Dit stelt de aanvaller in staat configuratiedata te stelen, bestanden aan te passen, bestanden te downloaden of een reverse tunnel op te zetten van de Ivanti Connect Secure VPN appliance.
Mogelijke risico’s
De kwetsbaarheid CVE-2023-46805 heeft een CVSS-score van 8,2 en CVE-2024-21887 heeft een CVSS-score van 9,1. De CVSS-schaal loopt van 0 tot 10. Scores van 8,2 en 9,1 zijn op zichzelf niet kritiek. Het is de combinatie van de kwetsbaarheden die een hoog risico op uitbuiting impliceert met een grote impact.
Kwetsbaarheid CVE-2023-46805 is een authenticatie bypass kwetsbaarheid. CVE-2024-21887 is een command injection kwetsbaarheid. Wanneer de twee kwetsbaarheden worden gecombineerd kan een aanvaller zonder authenticatie commando’s uitvoeren op het systeem. Dit stelt de aanvaller in staat configuratiedata te stelen, bestanden aan te passen, bestanden te downloaden of een reverse tunnel op te zetten van de Ivanti Connect Secure VPN appliance.
Uitbuiting van CVE-2023-46805 en CVE-2024-21887 is reeds waargenomen in het wild sinds begin december, maar code of instructies voor het uitbuiten zijn niet publiek beschikbaar. De getroffen oplossingen zijn doorgaans publiek op het internet ontsloten. Dit maakt de kwetsbaarheid zeer kritiek en dient zo snel mogelijk te worden verholpen.
Detail informatie
Alle ondersteunde versies van Ivanti Connect Secure VPN zijn kwetsbaar voor CVE-2023-46805 en CVE-2024-21887, inclusief:
- Versie 9.x
- Versie 22.x
Ivanti heeft een workaround beschikbaar gesteld terwijl beveiligingspatches worden ontwikkeld, welke het attack surface tijdelijk wegneemt. De workaround beperkt een aantal features van het product, het is dus raadzaam de impact hiervan te controleren voor het toepassen. In het security artikel van Ivanti kan meer informatie worden gevonden met betrekking tot de workaround, beveiligingspatches en de kwetsbaarheid: https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
Ivanti heeft een planning gepubliceerd voor de publicatie van de beveiligingspatches. Het is sterk aanbevolen om deze beveiligingspatches zo snel mogelijk te installeren wanneer deze zijn gepubliceerd.
| Versie | Product | Publicatie doel |
| 9.1R14.4 | Ivanti Connect Secure | Week van 29 januari |
| 9.1R15.3 | Ivanti Connect Secure | Week van 12 februari |
| 9.1R16.3 | Ivanti Connect Secure | Week van 29 januari |
| 9.1R17.2 | Ivanti Connect Secure | Week van 22 januari |
| 9.1R18.3 | Ivanti Connect Secure | Week van 22 januari |
| 22.1R6.1 | Ivanti Connect Secure | Week van 19 februari |
| 22.2R4.1 | Ivanti Connect Secure | Week van 12 februari |
| 22.3R1.1 | Ivanti Connect Secure | Week van 29 januari |
| 22.4R1.1 | Ivanti Connect Secure | Week van 12 februari |
| 22.4R2.2 | Ivanti Connect Secure | Week van 22 januari |
| 22.5R1.1 | Ivanti Connect Secure | Week van 22 januari |
| 22.5R2.2 | Ivanti Connect Secure | Week van 19 februari |
| 22.6R1.1 | Ivanti Connect Secure | Week van 12 februari |
| 22.6R2.2 | Ivanti Connect Secure | Week van 29 januari |
| 9.1R14.2 | Ivanti Policy Secure | Week van 29 januari |
| 9.1R15.1 | Ivanti Policy Secure | Week van 12 februari |
| 9.1R16.1 | Ivanti Policy Secure | Week van 29 januari |
| 9.1R17.2 | Ivanti Policy Secure | Week van 22 januari |
| 9.1R18.3 | Ivanti Policy Secure | Week van 22 januari |
| 22.1R1.1 | Ivanti Policy Secure | Week van 12 februari |
| 22.1R6.1 | Ivanti Policy Secure | Week van 12 februari |
| 22.3R1.1 | Ivanti Policy Secure | Week van 29 januari |
| 22.2R3.1 | Ivanti Policy Secure | Week van 12 februari |
| 22.4R1.1 | Ivanti Policy Secure | Week van 22 januari |
| 22.5R1.1 | Ivanti Policy Secure | Week van 22 januari |
| 22.6R1.1 | Ivanti Policy Secure | Week van 29 januari |
| 22.5R1.5 | ZTA | Week van 29 januari |
| 22.6R1.3 | ZTA | Week van 22 januari |
Het installeren van de beveiligingspatches is niet voldoende om het risico van de kwetsbaarheid volledig te mitigeren. Zowel Volexity en Ivanti adviseren om de External Integrity Checker Tool te gebruiken om mogelijk misbruik te detecteren. Deze tool is ontwikkeld door Ivanti om de volledige integriteit van de Ivanti Connect Secure te controleren. Daarnaast heeft Volexity aanvullende stappen beschreven voor het waarnemen van uitbuiting van de omgeving, inclusief indicators of compromise.
Als er verdachte of kwaadaardige activiteiten worden waargenomen in verband met dit artikel, neem dan contact op met T-CERT. Het Tesorion Computer Emergency Response Team biedt 24/7 specialistische ondersteuning. In noodgevallen voeren we onmiddellijk een eerste telefonische beoordeling uit en doen we er alles aan om de situatie zo snel mogelijk onder controle te krijgen.
Bronnen
Meer informatie:
Aanmelden
Wilt u tijdig geïnformeerd worden? Schrijf u dan in voor onze technische updates
Wilt u de kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Abonneer u dan op de nieuwbrief.
Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.
