-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.02 #############################

Titel           : Kwetsbaarheden verholpen in Ivanti Connect Secure en Policy Secure
Advisory ID     : NCSC-2025-0005
Versie          : 1.02
Kans            : high
CVE ID          : CVE-2025-0282, CVE-2025-0283
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Stack-based Buffer Overflow
Uitgiftedatum   : 20250109
Toepassing      : ivanti connect_secure
                  ivanti policy_secure
Versie(s)       :
Platform(s)     :

Update
   Het NCSC adviseert ook de Integrity Checker Tools (ICT) in te zetten
   om mogelijk misbruik te kunnen detecteren, deze is alleen beschibaar
   voor versie 22.7R2.5.*

Beschrijving
   Ivanti heeft kwetsbaarheden verholpen in Connect Secure en Policy
   Secure.

   De eerste kwetsbaarheid (CVE-2025-0282) kan door kwaadwillenden
   misbruikt worden om zonder authenticatie op afstand willekeurige code
   uit te voeren. De tweede kwetsbaarheid (CVE-2025-0283) kan door een
   lokaal geauthenticeerde kwaadwillende misbruikt worden om de rechten
   te verhogen.
   Ivanti geeft aan dat CVE-2025-0282 actief misbruikt word bij
   gebruikers van Connect Secure.
   Ivanti adviseert om de interne en externe Integrity Checker Tools
   (ICT) te gebruiken op betreffende apparatuur, de interne integrity
   check tool zou echter mogelijk door malafide handelingen niet correct
   werken. Het NCSC adviseert ook de Integrity Checker Tools (ICT) in te
   zetten om mogelijk misbruik te kunnen detecteren, deze is alleen
   beschibaar voor versie 22.7R2.5. In de aanval zouden mogelijk
   meerdere persistence technieken zijn toegepast, een daarvan is het
   blokkeren van een legitieme patch en in plaats daarvan een schijn
   patch op het scherm weer te geven als het systeem gepatched word. Dit
   zou betekenen dat de update die zou zijn uitgevoerd niet correct is
   en mogelijk zou een kwaadwillende nog steeds toegang hebben tot het
   apparaat. Ook adviseert Ivanti om bij onderkenning van eerder
   misbruik betreffende apparatuur te factory resetten en de versie
   terug te zetten naar 22.7R2.5. Het is belangrijk dat bij tekenen van
   misbruik credentials en API tokens worden geroteerd, deze zouden
   mogelijk gestolen kunnen zijn.

Mogelijke oplossingen
   Ivanti heeft patches uitgebracht om de kwetsbaarheid te verhelpen in
   Connect Secure versie 22.7R2.5. Gebruikers van Connect Secure worden
   daarnaast door Ivanti dringend geadviseerd om de integriteit van het
   systeem met de interne en externe Integrity Checker Tools (ICT) te
   onderzoeken. Hiermee kunnen mogelijke antiforensische handelingen
   worden gedetecteerd.
   Voor Policy Secure zal naar verwachting op 21 januari een patch
   beschikbaar komen. Dit product hoort echter normaliter niet via het
   internet bereikbaar te zijn en er is dan ook geen actief misbruik van
   de kwetsbaarheden in Policy Secure bekend.
   Google TI heeft een blog geschreven over het misbruik met meerdere
   indicators of compromise (IoC's) welke kunnen ondersteunen bij
   onderzoek.
   Zie bijgevoegde referenties voor meer informatie.

   Referenties:
      Reference - ncscclear
      https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-
      Connect-Secure-Policy-Secure-ZTA-Gateways-
      CVE-2025-0282-CVE-2025-0283?language=en_US

      Reference - ncscclear
      https://cloud.google.com/blog/topics/threat-intelligence/ivanti-
      connect-secure-vpn-zero-day/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----

wsDzBAEBCgAdBQJnf9QCFiEEj9lz1UkzuNhtLOX5ytTOqyR+cF8ACgkQytTOqyR+
cF/P0gwAipRMmgaBUnDibN8fAAfJCO3MCOsHn00JtvFC/UP0fTagbRm6+v57zmPB
KcnN9ELWDRU2vBLuhOPafdgDFK4eRBNIeTt2CiD9ITuTZpCbmioZYsFHPf2+OAmL
c6U5vHiZfPduoO4z31G7ahmH4xgG/M+PVkvoX7Q/YIKLewu4lA3O+aMCrS1hF5HY
kOnLtm0ydYOAwg2Z4I8Z/z2zwCYGiYrId9FDRlzNj5Dpn7KG6LCnyG7wUAW3CHL5
rGF2avhKDX8QK+/vLHCz60DnXPp0E+C97zsl0KAcvkTzmzcFZgGc2nqImmekSmZ2
1bQhXWzra+lZeFnfJxuDvFwCdB5kNi1xsVrx/D3R1WW/eqJKywYBIZ7AttZIpftl
GGqGOW8W/iCYg16PkrSimggjrNBTqdtl1452A3X6BCcP26Hze8kpVOJ4cDVPetK/
yayjoxPWsk4z9AOWoK6hh9ILM96u2U4IxXCMtbPBw6sxnRZ8p8sT2FsFQYPlqawk
LulMn3wG
=6/lV
-----END PGP SIGNATURE-----