-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.01 #############################

Titel           : Kwetsbaarheden verholpen in Ivanti Connect Secure en Policy Secure
Advisory ID     : NCSC-2025-0005
Versie          : 1.01
Kans            : high
CVE ID          : CVE-2025-0282, CVE-2025-0283
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Stack-based Buffer Overflow
Uitgiftedatum   : 20250109
Toepassing      : ivanti connect_secure
                  ivanti policy_secure
Versie(s)       :
Platform(s)     :

Update
   Ivanti adviseert om de interne en externe Integrity Checker Tools
   (ICT) te gebruiken op betreffende apparatuur, de interne integrity
   check tool zou echter mogelijk door malafide handelingen niet correct
   werken. Uit open bronnen blijkt dat er antiforensische methoden
   zouden zijn toegepast welke, bij eerder misbruik, niet enkel met een
   patch zouden kunnen worden opgelost.

Beschrijving
   Ivanti heeft kwetsbaarheden verholpen in Connect Secure en Policy
   Secure.

   De eerste kwetsbaarheid (CVE-2025-0282) kan door kwaadwillenden
   misbruikt worden om zonder authenticatie op afstand willekeurige code
   uit te voeren. De tweede kwetsbaarheid (CVE-2025-0283) kan door een
   lokaal geauthenticeerde kwaadwillende misbruikt worden om de rechten
   te verhogen.
   Ivanti geeft aan dat CVE-2025-0282 actief misbruikt word bij
   gebruikers van Connect Secure.
   Ivanti adviseert om de interne en externe Integrity Checker Tools
   (ICT) te gebruiken op betreffende apparatuur, de interne integrity
   check tool zou echter mogelijk door malafide handelingen niet correct
   werken. Het NCSC adviseert ook de Integrity Checker Tools (ICT) in te
   zetten om mogelijk misbruik te kunnen detecteren, zowel voordat er
   gepatched is of nadat er (al) gepatched is. In de aanval zouden
   mogelijk meerdere persistence technieken zijn toegepast, een daarvan
   is het blokkeren van een legitieme patch en in plaats daarvan een
   schijn patch op het scherm weer te geven als het systeem gepatched
   word. Dit zou betekenen dat de update die zou zijn uitgevoerd niet
   correct is en mogelijk zou een kwaadwillende nog steeds toegang
   hebben tot het apparaat. Ook adviseert Ivanti om bij onderkenning van
   eerder misbruik betreffende apparatuur te factory resetten en de
   versie terug te zetten naar 22.7R2.5. Het is belangrijk dat bij
   tekenen van misbruik credentials en API tokens worden geroteerd, deze
   zouden mogelijk gestolen kunnen zijn.

Mogelijke oplossingen
   Ivanti heeft patches uitgebracht om de kwetsbaarheid te verhelpen in
   Connect Secure versie 22.7R2.5. Gebruikers van Connect Secure worden
   daarnaast door Ivanti dringend geadviseerd om de integriteit van het
   systeem met de interne en externe Integrity Checker Tools (ICT) te
   onderzoeken. Hiermee kunnen mogelijke antiforensische handelingen
   worden gedetecteerd.
   Voor Policy Secure zal naar verwachting op 21 januari een patch
   beschikbaar komen. Dit product hoort echter normaliter niet via het
   internet bereikbaar te zijn en er is dan ook geen actief misbruik van
   de kwetsbaarheden in Policy Secure bekend.
   Google TI heeft een blog geschreven over het misbruik met meerdere
   indicators of compromise (IoC's) welke kunnen ondersteunen bij
   onderzoek.
   Zie bijgevoegde referenties voor meer informatie.

   Referenties:
      Reference - ncscclear
      https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-
      Connect-Secure-Policy-Secure-ZTA-Gateways-
      CVE-2025-0282-CVE-2025-0283?language=en_US

      Reference - ncscclear
      https://cloud.google.com/blog/topics/threat-intelligence/ivanti-
      connect-secure-vpn-zero-day/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
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=mUKY
-----END PGP SIGNATURE-----