-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheid verholpen in Ivanti Connect Secure, Policy Secure en ZTA Gateways
Advisory ID     : NCSC-2025-0105
Versie          : 1.00
Kans            : high
CVE ID          : CVE-2025-22457
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Cleartext Transmission of Sensitive Information
                  Stack-based Buffer Overflow
Uitgiftedatum   : 20250403
Toepassing      :
Versie(s)       :
Platform(s)     :

Beschrijving
   Ivanti heeft een kwetsbaarheid verholpen in Connect Secure, Policy
   Secure en ZTA Gateways.

   Een kwaadwillende kan de kwetsbaarheid misbruiken om willekeurige
   code uit te voeren op het kwetsbare systeem zonder voorafgaande
   authenticatie.
   Ivanti meldt informatie te hebben dat de kwetsbaarheid beperkt is
   misbruikt op Connect Secure en Pulse Connect Secure systemen. Pulse
   Connect Secure is sinds 31 december 2024 End-of-Life en End-of-
   Support. Er zijn echter nog veel van deze End-of-Life systemen actief
   in gebruik en vindbaar op Internet. Dit is voor het NCSC de reden om
   dit beveiligingsadvies in te schalen als **HIGH/HIGH**.
   Ivanti meldt dat er voor zover bekend geen misbruik heeft
   plaatsgevonden op Policy Secure en ZTA Gateway systemen, omdat deze
   systemen niet zichtbaar zijn vanaf internet, of aanvullende
   maatregelen hebben die de kans op misbruik zeer klein maakt.

Mogelijke oplossingen
   Pulse Connect Secure appliances 9.1x krijgen **geen** updates, omdat
   deze productlijn **End-of-Life** en **End-of-Support** is. Het NCSC
   adviseert om deze systemen niet meer te gebruiken, uit te schakelen
   en te vervangen door ondersteunde systemen. Neem hiervoor contact op
   met de leverancier.
   Ivanti heeft updates beschikbaar gesteld voor Connect Secure, door
   versie 22.7R2.6 uit te brengen. Deze update is 11 februari 2025
   vrijgegeven. De kwetsbaarheid is daarin verholpen als reguliere bug.
   Het NCSC heeft hiervoor op 12 februari beveiligingsadvies
   NCSC-2025-0052 gepubliceerd. Organisaties die dit beveiligingsadvies
   hebben opgevolgd zijn daardoor niet (meer) kwetsbaar.
   Voor Policy Secure is een update in ontwikkeling. Deze wordt 21 april
   verwacht.
   Voor ZTA Gateway is een update in ontwikkeling. Deze wordt 19 april
   verwacht.
   Het risico van actief misbruik is voor de laatstgenoemde systemen
   sterk gereduceerd vanwege additionele maatregelen die reeds in deze
   producten zijn geïmplementeerd. Raadpleeg de informatie van Ivanti
   voor eventuele additionele handelingsperspectieven.
   Zie bijgevoegde referenties voor meer informatie.

   Referenties:
      Reference - ncscclear
      https://advisories.ncsc.nl/advisory?id=NCSC-2025-0052

      Reference - ncscclear
      https://forums.ivanti.com/s/article/April-Security-Advisory-
      Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-
      CVE-2025-22457?language=en_US

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
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=uEaM
-----END PGP SIGNATURE-----