2min Security

Nalatig patchbeleid leidt tot massale exploitaties Ivanti-hardware

Nalatig patchbeleid leidt tot massale exploitaties Ivanti-hardware

CISA, het Amerikaanse cybersecurity-agentschap, en de FBI melden dat aanvallers nog steeds beveiligingslekken in Ivanti Cloud Service Appliances (CSA) uitbuiten. Dit, ondanks patches die al in september beschikbaar waren.

Volgens een bericht van BleepingComputer gebruiken hackers de lekken om netwerken binnen te dringen. De kwetsbaarheden die in deze aanvallen worden gecombineerd, omvatten aleereerst CVE-2024-8963. Dat is een omzeiling van admin-authenticatie die in september werd gepatcht. En daarnaast CVE-2024-8190. Daarbij gaat het om een bug voor remote code execution die in dezelfde maand werd aangepakt. 

Twee andere bugs, CVE-2024-9379, een SQL-injectie, en CVE-2024-9380, een kwetsbaarheid voor remote code execution, verhielp men in oktober.  

Bij de vier bugs gaat het om zero-day exploits. CISA nam ze op in de catalogus van bekende geëxploiteerde kwetsbaarheden. De organisatie riep federale civiele uitvoerende instanties (FCEB) op hun apparaten te beveiligen. 

De belangrijkste exploitpaden van de actoren waren twee ketens van kwetsbaarheden. Eén exploitketen maakte gebruik van CVE-2024-8963 in combinatie met CVE-2024-8190 en CVE-2024-9380, terwijl de andere keten CVE-2024-8963 en CVE-2024-9379 uitbuitte. 

CISA Cyber Ivanti-waarschuwing  

CISA en de FBI dringen er nu sterk op aan dat alle netwerkbeheerders hun apparaten upgraden naar de nieuwste ondersteunde versie van Ivanti CSA. Dit om voortdurende aanvallen op hun systemen te voorkomen.  

Daarnaast luidt het advies om actief te zoeken naar tekenen van kwaadaardige activiteiten op hun netwerken. Bijvoorbeeld met behulp van de indicatoren van compromis (IOCs). En detectiemethoden die in het advies zijn gedeeld.  

Inloggegevens en gevoelige gegevens die in de getroffen Ivanti-apparaten zijn opgeslagen moeten organisaties als gecompromitteerd beschouwen. Dat stellen CISA en de FBI. Organisaties moeten logs verzamelen en analyseren op kwaadaardige activiteiten.

Ook betrokkenheid Chinese hackersgroep

Deze reeks van actief geëxploiteerde kwetsbaarheden ontstond terwijl Ivanti de tests en interne scans opvoerde en aangaf het proces van openbaarmaking te hebben verbeterd om beveiligingslekken sneller te patchen.  

Verschillende andere kwetsbaarheden werden vorig jaar als zero-days uitgebuit in grootschalige aanvallen op kwetsbare Ivanti VPN-apparaten. En op ICS-, IPS- en ZTA-gateways.  

Bovendien waren Ivanti Connect Secure VPN-apparaten sinds begin 2025 ook het doelwit van een vermoedelijke China-gerelateerde spionagegroep. Die staat bekend als UNC5221. Het betrof zero-day-aanvallen met remote code execution, waarbij de groep nieuwe malware genaamd Dryhook en Phasejam inzette.  

De klantenlijst van Ivanti omvat meer dan 40.000 bedrijven wereldwijd die hun producten gebruiken voor het beheren van systemen en IT-assets.