-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.05 #############################

Titel           : Kwetsbaarheden verholpen in Ivanti Connect Secure en Policy Secure
Advisory ID     : NCSC-2025-0005
Versie          : 1.05
Kans            : high
CVE ID          : CVE-2025-0282, CVE-2025-0283
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Out-of-bounds Write
                  Stack-based Buffer Overflow
Uitgiftedatum   : 20250117
Toepassing      : ivanti connect_secure
                  ivanti policy_secure
Versie(s)       :
Platform(s)     :

Update
   Onderzoekers hebben Proof-of-Concept-code (PoC) gepubliceerd, waarmee
   de kwetsbaarheid met kenmerk CVE-2025-0282 kan worden aangetoond.
   Actief grootschalig misbruik wordt hiermee waarschijnlijker.

Beschrijving
   Ivanti heeft kwetsbaarheden verholpen in Connect Secure en Policy
   Secure.

   De eerste kwetsbaarheid (CVE-2025-0282) kan door kwaadwillenden
   misbruikt worden om zonder authenticatie op afstand willekeurige code
   uit te voeren. De tweede kwetsbaarheid (CVE-2025-0283) kan door een
   lokaal geauthenticeerde kwaadwillende misbruikt worden om de rechten
   te verhogen.
   Ivanti geeft aan dat CVE-2025-0282 actief misbruikt word bij
   gebruikers van Connect Secure. Er is Proof-of-Concept-code
   beschikbaar.
   Ivanti adviseert om de interne en externe Integrity Checker Tools
   (ICT) te gebruiken op betreffende apparatuur, de interne integrity
   check tool zou echter mogelijk door malafide handelingen niet correct
   werken. Het NCSC adviseert om de meest recente versies van de
   Integrity Checker Tools (ICT) in te zetten om mogelijk misbruik te
   kunnen detecteren. Op dit moment is dat versie ICT-V22725 (build
   3819).
   In de aanval zouden mogelijk meerdere persistence technieken zijn
   toegepast, een daarvan is het blokkeren van een legitieme patch en in
   plaats daarvan een schijn patch op het scherm weer te geven als het
   systeem gepatched wordt. Dit zou betekenen dat de update die zou zijn
   uitgevoerd niet correct is en mogelijk zou een kwaadwillende nog
   steeds toegang hebben tot het apparaat. Ook adviseert Ivanti om bij
   onderkenning van eerder misbruik betreffende apparatuur te factory
   resetten en de versie terug te zetten naar 22.7R2.5. Het is
   belangrijk dat bij tekenen van misbruik credentials en API tokens
   worden geroteerd, deze zouden mogelijk gestolen kunnen zijn.

Mogelijke oplossingen
   Ivanti heeft patches uitgebracht om de kwetsbaarheid te verhelpen in
   Connect Secure versie 22.7R2.5. Gebruikers van Connect Secure worden
   daarnaast door Ivanti dringend geadviseerd om de integriteit van het
   systeem met de interne en externe Integrity Checker Tools (ICT) te
   onderzoeken. Hiermee kunnen mogelijke antiforensische handelingen
   worden gedetecteerd.
   Voor Policy Secure zal naar verwachting op 21 januari een patch
   beschikbaar komen. Dit product hoort echter normaliter niet via het
   internet bereikbaar te zijn en er is dan ook geen actief misbruik van
   de kwetsbaarheden in Policy Secure bekend.
   Google TI heeft een blog geschreven over het misbruik met meerdere
   indicators of compromise (IoC's) welke kunnen ondersteunen bij
   onderzoek.
   Zie bijgevoegde referenties voor meer informatie.

   Referenties:
      Reference - ncscclear
      https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-
      Connect-Secure-Policy-Secure-ZTA-Gateways-
      CVE-2025-0282-CVE-2025-0283?language=en_US

      Reference - ncscclear
      https://cloud.google.com/blog/topics/threat-intelligence/ivanti-
      connect-secure-vpn-zero-day/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----

wsDzBAEBCgAdBQJnihrWFiEEj9lz1UkzuNhtLOX5ytTOqyR+cF8ACgkQytTOqyR+
cF/ABAv/QmoZqRAlba8OS3HRX2BLneHoo9xPtKDp2MNMiCPweF1JSefvmTqqqlaL
S8oqM74bhq87Vlku3A2t4FgpBdOnJ4zoZATpWinXbtpsPuNvMJ3Es89AwQfVuM1b
KmQYgdZnvNmbDpngKtogRHbVjSHPTV5/7+oqA7sg+4xe6etaMteE3s+Cp/RjTqnq
qPeMjF+4h1H0gMGApWuAdshHPCs1/hoRqqdZELgED3ZfVIccTOPWw47VWEbMLQcc
HOTDx95daAFvceAlA4uTaXNdRS5zoEUGPbaiU6uroFL7WzQPo7QZ0gfBg7x/ch4f
2cCMdlq4LBAw4kWjuuHU4ol3QVw+d7/SHLPY0XYvBPGylZwIhYo1lX4Dd5vyGf9P
Iq0div2T59so1SiSIJCer6udc7op25h4zGtzgY+1OiS7mHqg2pcw9sB/NjGgfgBU
q+ydlbN8pwpN9AUZGHV3BLd/qKEiEh/3ISpIdVMif4znKWGaOLYstfbX6kSdh3T+
KJYQ5rXJ
=UlAz
-----END PGP SIGNATURE-----