De Amerikaanse Cyber Security Agency CISA heeft federale instanties opdracht gegeven Ivanti VPN-apparaten onmiddellijk uit te schakelen vanwege het risico op kwaadwillige exploitatie als gevolg van meerdere softwarefouten.
In een update van de noodrichtlijn die vorige week voor het eerst werd aangekondigd, beveelt CISA nu alle federale civiele handhavingsinstanties – een lijst met onder meer Homeland Security en de Securities and Exchange Commission – om alle Ivanti VPN-apparaten af te sluiten vanwege de ‘ernstige dreiging’ die zich voordoet. door talloze zero-day-kwetsbaarheden die momenteel worden gebruikt door kwaadwillende hackers.
Hoewel federale instanties doorgaans enkele weken de tijd hebben om kwetsbaarheden te patchen, heeft CISA opdracht gegeven om de VPN-apparaten van Ivanti binnen 48 uur uit te schakelen.
Instanties die de getroffen producten gebruiken – Ivanti Connect Secure of Ivanti Policy Secure-oplossingen – moeten onmiddellijk de volgende taken uitvoeren: zo snel mogelijk, en uiterlijk om 23:59 uur op vrijdag 2 februari 2024, alle exemplaren van Ivanti afsluiten Connect Secure en Ivanti Policy Produceert een veilige oplossing vanuit agentuurnetwerken”, luidt de noodrichtlijn, die woensdag is bijgewerkt.
De waarschuwing van CISA komt slechts enkele uren nadat Ivanta zei dat het een derde zero-day-fout had ontdekt die actief werd uitgebuit.
Beveiligingsonderzoekers zeggen dat door de Chinese staat gesteunde hackers sinds december minstens twee Ivanti Connect Secure-fouten hebben misbruikt – bijgehouden als CVE-2023-46805 en CVE-2024-21887. Woensdag zei Ivanti dat het nog twee extra fouten had ontdekt – CVE-2024-21888 en CVE-2024-21893 – waarvan de laatste al was gebruikt bij ‘gerichte’ aanvallen. CISA zei eerder dat het “enige initiële targeting door federale agentschappen had waargenomen”.
Steven Adair, oprichter van cyberbeveiligingsbedrijf Volexity, vertelde donderdag aan TechCrunch dat tot nu toe minstens 2.200 Ivanti-apparaten zijn gecompromitteerd. Dit is een stijging van 500 ten opzichte van de 1.700 die het bedrijf eerder deze maand bijhield, hoewel Volexity opmerkt dat “het totale aantal waarschijnlijk veel hoger zal zijn”.
In een update van de noodrichtlijn vertelde CISA aan instanties dat instanties, na het afsluiten van kwetsbare Ivanti-producten, moeten blijven zoeken naar bedreigingen op alle systemen die met het getroffen apparaat zijn verbonden, authenticatie- of identiteitsbeheerdiensten moeten monitoren die mogelijk worden blootgesteld, en doorgaan met audits. Toegangsaccounts op privilegeniveau.
CISA gaf ook instructies om Ivanti-apparaten weer online te brengen, maar gaf federale instanties geen deadline om dit te doen.
“CISA stuurde federale agentschappen effectief naar een methode voor het implementeren van wat als een volledig nieuwe en gepatchte installatie zou worden beschouwd [Ivanti Connect Secure] VPN-apparaten zijn een voorwaarde om weer online te kunnen gaan”, vertelde Adari aan TechCrunch. “Als een organisatie er absoluut zeker van wil zijn dat zijn apparaat wordt beheerd vanuit een bekende goede en betrouwbare staat, is dit waarschijnlijk de beste handelwijze.”
Ivanti heeft deze week patches beschikbaar gesteld voor een aantal softwareversies die getroffen zijn door drie actief uitgebuite kwetsbaarheden, nadat CISA in een waarschuwing had gewaarschuwd dat kwaadwillende aanvallers de maatregelen hadden omzeild die voor de eerste twee kwetsbaarheden waren gepubliceerd. Ivanti drong er bij klanten ook op aan om apparaten vóór de patch terug te zetten naar de fabrieksinstellingen, om te voorkomen dat hackers hardnekkig op hun netwerk blijven.