Kwetsbaarheden verholpen in Ivanti Connect Secure en Policy Secure
Deze pagina zet de platte tekst van officiële advisories automatisch om naar HTML. Hierbij kan mogelijk informatie verloren gaan. De Signed PGP-versies zijn leidend.
| Publicatie | Kans | Schade | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Versie 1.03 | vandaag | NCSC-2025-0005 | ||||||||
|
high
|
high
|
Signed-PGP → CSAF → PDF → |
||||||||
| vandaag |
high
|
high
|
NCSC-2025-0005 [1.03] |
Signed-PGP → Text, CSAF (sig), PDF |
||||||
| Kenmerken |
|
|||||||||
| Omschrijving |
Ivanti heeft kwetsbaarheden verholpen in Connect Secure en Policy Secure. De eerste kwetsbaarheid (CVE-2025-0282) kan door kwaadwillenden misbruikt worden om zonder authenticatie op afstand willekeurige code uit te voeren. De tweede kwetsbaarheid (CVE-2025-0283) kan door een lokaal geauthenticeerde kwaadwillende misbruikt worden om de rechten te verhogen. Ivanti geeft aan dat CVE-2025-0282 actief misbruikt word bij gebruikers van Connect Secure. Ivanti adviseert om de interne en externe Integrity Checker Tools (ICT) te gebruiken op betreffende apparatuur, de interne integrity check tool zou echter mogelijk door malafide handelingen niet correct werken. Het NCSC adviseert ook de Integrity Checker Tools (ICT) in te zetten om mogelijk misbruik te kunnen detecteren. In de aanval zouden mogelijk meerdere persistence technieken zijn toegepast, een daarvan is het blokkeren van een legitieme patch en in plaats daarvan een schijn patch op het scherm weer te geven als het systeem gepatched word. Dit zou betekenen dat de update die zou zijn uitgevoerd niet correct is en mogelijk zou een kwaadwillende nog steeds toegang hebben tot het apparaat. Ook adviseert Ivanti om bij onderkenning van eerder misbruik betreffende apparatuur te factory resetten en de versie terug te zetten naar 22.7R2.5. Het is belangrijk dat bij tekenen van misbruik credentials en API tokens worden geroteerd, deze zouden mogelijk gestolen kunnen zijn. |
|||||||||
| Bereik |
|
|||||||||
| Oplossingen |
Ivanti heeft patches uitgebracht om de kwetsbaarheid te verhelpen in Connect Secure versie 22.7R2.5. Gebruikers van Connect Secure worden daarnaast door Ivanti dringend geadviseerd om de integriteit van het systeem met de interne en externe Integrity Checker Tools (ICT) te onderzoeken. Hiermee kunnen mogelijke antiforensische handelingen worden gedetecteerd. Voor Policy Secure zal naar verwachting op 21 januari een patch beschikbaar komen. Dit product hoort echter normaliter niet via het internet bereikbaar te zijn en er is dan ook geen actief misbruik van de kwetsbaarheden in Policy Secure bekend. Google TI heeft een blog geschreven over het misbruik met meerdere indicators of compromise (IoC's) welke kunnen ondersteunen bij onderzoek. Zie bijgevoegde referenties voor meer informatie. [Link] [Link] |
|||||||||
| CVE’s | ||||||||||
| Versie 1.03 | vandaag | NCSC-2025-0005 | ||||||||
|
high
|
high
|
Signed-PGP → CSAF → PDF → |
||||||||
| vandaag |
high
|
high
|
NCSC-2025-0005 [1.03] |
Signed-PGP → Text, CSAF (sig), PDF |
||||||
| Update |
Ivanti adviseert om de Integrity Checker Tools (ICT) te gebruiken. Zie de Ivanti advisory voor meer informatie. |
|||||||||
| Versie 1.02 | vandaag | NCSC-2025-0005 | ||||||||
|
high
|
high
|
Signed-PGP → CSAF → PDF → |
||||||||
| vandaag |
high
|
high
|
NCSC-2025-0005 [1.02] |
Signed-PGP → Text, CSAF (sig), PDF |
||||||
| Update |
Het NCSC adviseert ook de Integrity Checker Tools (ICT) in te zetten om mogelijk misbruik te kunnen detecteren, deze is alleen beschibaar voor versie 22.7R2.5.* |
|||||||||
| Versie 1.01 | vandaag | NCSC-2025-0005 | ||||||||
|
high
|
high
|
Signed-PGP → CSAF → PDF → |
||||||||
| vandaag |
high
|
high
|
NCSC-2025-0005 [1.01] |
Signed-PGP → Text, CSAF (sig), PDF |
||||||
| Update |
Ivanti adviseert om de interne en externe Integrity Checker Tools (ICT) te gebruiken op betreffende apparatuur, de interne integrity check tool zou echter mogelijk door malafide handelingen niet correct werken. Uit open bronnen blijkt dat er antiforensische methoden zouden zijn toegepast welke, bij eerder misbruik, niet enkel met een patch zouden kunnen worden opgelost. |
|||||||||
| Versie 1.00 | gisteren | NCSC-2025-0005 | ||||||||
|
high
|
high
|
Signed-PGP → CSAF → PDF → |
||||||||
| gisteren |
high
|
high
|
NCSC-2025-0005 [1.00] |
Signed-PGP → Text, CSAF (sig), PDF |
||||||
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade
ten gevolge van het gebruik of de onmogelijkheid van het gebruik
van dit beveiligingsadvies, waaronder begrepen schade ten gevolge
van de onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle
geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies
zullen worden voorgelegd aan de exclusief bevoegde rechter te Den
Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in
kort geding.