Update

Het Cybersecurity Dreigingsbeeld en advies rapport is uit! Download hem hier.

Lees verder

Pinewood Security Bulletin – Critical vulnerabilities in Ivanti VPN gateways

For English, see below.

Beschrijving

Er bevinden zich twee ernstige kwetsbaarheden in Ivanti Connect Secure (ICS) (voorheen bekend als Pulse Connect Secure), Ivanti Policy Security en Ivanti ZTA gateways. Deze kwetsbaarheden bevinden zich in alle ondersteunde versies van deze producten. De kwetsbaarheden stellen een kwaadwillende in staat om een systeem over te nemen en zich toegang te verschaffen tot het netwerk. De kwetsbaarheden werden reeds op kleine, gerichte schaal misbruikt voordat Ivanti de kwetsbaarheden heeft kunnen verhelpen.

De eerste kwetsbaarheid (CVE-2023-46805) stelt een kwaadwillende in staat om de authenticatie op het systeem te omzeilen, zelfs als het systeem is ingesteld voor het afdwingen van multifactorauthenticatie. De tweede kwetsbaarheid (CVE-2024-21887) betreft een commandinjectie-kwetsbaarheid die een aanvaller in staat stelt om willekeurige commando’s op het systeem uit te voeren. Normaal gesproken is deze tweede kwetsbaarheid alleen te misbruiken door een geauthenticeerde beheerder, maar in combinatie met de eerste kwetsbaarheid is het mogelijk om deze kwetsbaarheid uit te buiten zonder authenticatie.

Kwetsbare versies

Alle ondersteunde versies van Ivanti Connect Secure, Ivanti Policy Security en Ivanti ZTA gateways bevatten de kwetsbaarheden. Ook niet-ondersteunde versies zijn mogelijk kwetsbaar. Onderstaande lijst toont de versies die in ieder geval kwetsbaar zijn en waarvoor Ivanti in de komende weken updates zal uitbrengen:

  • 9.1
  • 22.1
  • 22.2
  • 22.3
  • 22.4
  • 22.5
  • 22.6

Misbruik

Volgens Ivanti maken aanvallers op dit moment op zeer beperkte schaal misbruik van deze kwetsbaarheid. Misbruik zou te herkennen zijn aan het feit dat een legitiem CGI-bestand (compcheck.cgi) is aangepast en JavaScript is toegevoegd aan de Web SSL VPN code op het systeem, teneinde de inloggegevens van gebruikers te kunnen onderscheppen. In totaal zouden minder dan 10 klanten van het bedrijf door de aanval geraakt zijn. Nu details m.b.t. deze kwetsbaarheid bekend zijn geworden, is de kans groot dat ook andere actoren zullen proberen om de details van deze kwetsbaarheid te achterhalen (en te misbruiken).

Oplossingen en tijdelijke mitigaties

Ivanti heeft aangegeven dat het in de komende weken (in de periode 22 januari t/m 19 februari) patches zal uitbrengen voor de verschillende versies van de kwetsbare producten. Om in de tussentijd misbruik van de kwetsbaarheid te voorkomen, is het essentieel om een mitigerende workaround door te voeren. Deze workaround bestaat uit het toepassen van een XML-bestand op kwetsbare systemen. Zie het artikel van Ivanti voor instructies voor het toepassen van deze XML.

Detectie van mogelijk misbruik

Ivanti raadt aan gebruik te maken van de Ivanti Integrity Checker Tool (ICT) om de integriteit van een systeem te verifiëren. Daarnaast zijn er door Volexity aanvullende indicatoren beschikbaar gesteld – waaronder IP-adressen en domeinnamen – die kunnen helpen om eventueel misbruik te herkennen.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center (SOC). Het Pinewood SOC is bereikbaar via +31 15 251 36 33 en via soc@pinewood.nl.

===== ENGLISH =====

Description

Two critical vulnerabilities were reported in Ivanti Connect Secure (ICS) (formerly known as Pulse Connect Secure), Ivanti Policy Security and Ivanti ZTA gateways. The vulnerabilities exist in all supported versions of these products. The vulnerabilities allow a malicious actor to take over a system and gain access to the network. An unknown threat actor was already exploiting these vulnerabilities on a small, targeted scale before Ivanti could address them.

The first vulnerability (CVE-2023-46805) allows a malicious actor to bypass system authentication, even if the system is configured to enforce multi-factor authentication. The second vulnerability (CVE-2024-21887) is a command injection vulnerability that enables an attacker to execute arbitrary commands on the device. Normally, this second vulnerability can only be exploited by an authenticated administrator, but when combined with the first vulnerability, it is possible to exploit this vulnerability without authentication.

Vulnerable versions

All supported versions of Ivanti Connect Secure and Ivanti Policy Security gateways are vulnerable. Unsupported versions may also be vulnerable. The list below shows the versions that are reported vulnerable and for which Ivanti will release updates in the coming weeks:

  • 9.1
  • 22.1
  • 22.2
  • 22.3
  • 22.4
  • 22.5
  • 22.6

Exploitation

According to Ivanti, attackers are currently exploiting these vulnerabilities on a very limited scale. Exploitation can be identified by the modification of a legitimate CGI file (compcheck.cgi) and the addition of JavaScript to the Web SSL VPN code on the device, allowing interception of user login credentials. In total, fewer than 10 customers of the company are believed to have been affected by the attack. Now that details about this vulnerability are known, there is a high likelihood that other actors will attempt to discover and exploit the vulnerability details.

Solutions and workarounds

Ivanti has stated that it will release patches for the various versions of the vulnerable products in the coming weeks (between January 22 and February 19). To prevent exploitation of the vulnerability in the meantime, it is essential to implement a mitigating workaround. This workaround involves applying an XML file to vulnerable devices. Refer to Ivanti’s article for instructions on applying this XML.

Detection of possible misuse

Ivanti recommends using the Ivanti Integrity Checker Tool (ICT) to verify the integrity of a device. Additionally, Volexity has provided additional indicators, including IP addresses and domain names, that can help identify potential exploitation.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center (SOC). The Pinewood SOC can be contacted at +31 15 251 36 33 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl