-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.03 #############################

Titel           : Kwetsbaarheden verholpen in Ivanti Connect Secure en Policy Secure
Advisory ID     : NCSC-2025-0005
Versie          : 1.03
Kans            : high
CVE ID          : CVE-2025-0282, CVE-2025-0283
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Stack-based Buffer Overflow
Uitgiftedatum   : 20250109
Toepassing      : ivanti connect_secure
                  ivanti policy_secure
Versie(s)       :
Platform(s)     :

Update
   Ivanti adviseert om de Integrity Checker Tools (ICT) te gebruiken.
   Zie de Ivanti advisory voor meer informatie.

Beschrijving
   Ivanti heeft kwetsbaarheden verholpen in Connect Secure en Policy
   Secure.

   De eerste kwetsbaarheid (CVE-2025-0282) kan door kwaadwillenden
   misbruikt worden om zonder authenticatie op afstand willekeurige code
   uit te voeren. De tweede kwetsbaarheid (CVE-2025-0283) kan door een
   lokaal geauthenticeerde kwaadwillende misbruikt worden om de rechten
   te verhogen.
   Ivanti geeft aan dat CVE-2025-0282 actief misbruikt word bij
   gebruikers van Connect Secure.
   Ivanti adviseert om de interne en externe Integrity Checker Tools
   (ICT) te gebruiken op betreffende apparatuur, de interne integrity
   check tool zou echter mogelijk door malafide handelingen niet correct
   werken. Het NCSC adviseert ook de Integrity Checker Tools (ICT) in te
   zetten om mogelijk misbruik te kunnen detecteren. In de aanval zouden
   mogelijk meerdere persistence technieken zijn toegepast, een daarvan
   is het blokkeren van een legitieme patch en in plaats daarvan een
   schijn patch op het scherm weer te geven als het systeem gepatched
   word. Dit zou betekenen dat de update die zou zijn uitgevoerd niet
   correct is en mogelijk zou een kwaadwillende nog steeds toegang
   hebben tot het apparaat. Ook adviseert Ivanti om bij onderkenning van
   eerder misbruik betreffende apparatuur te factory resetten en de
   versie terug te zetten naar 22.7R2.5. Het is belangrijk dat bij
   tekenen van misbruik credentials en API tokens worden geroteerd, deze
   zouden mogelijk gestolen kunnen zijn.

Mogelijke oplossingen
   Ivanti heeft patches uitgebracht om de kwetsbaarheid te verhelpen in
   Connect Secure versie 22.7R2.5. Gebruikers van Connect Secure worden
   daarnaast door Ivanti dringend geadviseerd om de integriteit van het
   systeem met de interne en externe Integrity Checker Tools (ICT) te
   onderzoeken. Hiermee kunnen mogelijke antiforensische handelingen
   worden gedetecteerd.
   Voor Policy Secure zal naar verwachting op 21 januari een patch
   beschikbaar komen. Dit product hoort echter normaliter niet via het
   internet bereikbaar te zijn en er is dan ook geen actief misbruik van
   de kwetsbaarheden in Policy Secure bekend.
   Google TI heeft een blog geschreven over het misbruik met meerdere
   indicators of compromise (IoC's) welke kunnen ondersteunen bij
   onderzoek.
   Zie bijgevoegde referenties voor meer informatie.

   Referenties:
      Reference - ncscclear
      https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-
      Connect-Secure-Policy-Secure-ZTA-Gateways-
      CVE-2025-0282-CVE-2025-0283?language=en_US

      Reference - ncscclear
      https://cloud.google.com/blog/topics/threat-intelligence/ivanti-
      connect-secure-vpn-zero-day/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
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=CdjE
-----END PGP SIGNATURE-----