For English, see below.
Beschrijving
Ivanti heeft een ernstige kwetsbaarheid in Connect Secure en Policy Secure bekendgemaakt (CVE-2025-0282) waarmee een niet-geauthenticeerde aanvaller op afstand willekeurige code kan uitvoeren op een kwetsbaar systeem. Volgens Ivanti is deze kwetsbaarheid reeds op kleine schaal misbruikt voor het overnemen van Connect Secure systemen.
Daarnaast heeft Ivanti ook een aanvullende kwetsbaarheid verholpen (CVE-2025-0283) waarmee een geauthenticeerde aanvaller zijn rechten kan verhogen. Hoewel een aanvaller deze tweede kwetsbaarheid ogenschijnlijk in tandem zou kunnen misbruiken met de eerste kwetsbaarheid voor het uitvoeren van willekeurige code met verhoogde rechten, geeft Ivanti aan dat zij nog geen misbruik heeft waargenomen van deze tweede kwetsbaarheid. Mogelijk dat hierin verandering gaat komen nu informatie over deze tweede kwetsbaarheid bekend is geworden.
Kwetsbare versies
Beide kwetsbaarheden bevinden zich in onderstaande Ivanti-producten:
- Ivanti Connect Secure 22.7: versie 22.7R2.4 en eerder
- Ivanti Policy Secure 22.7: versie 22.7R1.2 en eerder
- Ivanti Neurons for ZTA gateways 22.7: versie 22.7R2.3 en eerder
Daarnaast is Ivanti Connect Secure 9.1 wél kwetsbaar voor CVE-2025-0283 maar niet voor CVE-2025-0282. Aangezien deze versie van Connect Secure per 31 december 2024 de End-of-Life (EoL) status heeft bereikt, zal Ivanti voor deze versie géén patch uitbrengen.
Oplossingen en tijdelijke mitigaties
Ivanti raadt aan om allereerst gebruik te maken van de Ivanti Integrity Checker Tool (ICT) om een scan uit te voeren op de integriteit van een systeem:
- Indien de scan geen bijzonderheden oplevert: ga door met het installeren van updates
- Indien de scan onverhoopt wél aanwijzingen vindt dat het systeem is gecompromitteerd: voer eerst een fabrieksreset uit om ervoor te zorgen dat schadelijke objecten van het systeem worden verwijderd.
Voor Connect Secure heeft Ivanti versie 22.7R2.5 uitgebracht om deze kwetsbaarheden te verhelpen. Wij raden aan om deze update zo spoedig mogelijk te installeren na het uitvoeren van de ICT scan.
Voor Policy Secure en Neurons for ZTA gateways zal Ivanti in een later stadium een update uitbrengen (gepland op 21 januari 2025) aangezien deze systemen in de regel niet rechtstreeks te benaderen zijn via internet en daarom een kleiner risico lopen.
Detectie van mogelijk misbruik
Ivanti raadt aan om gebruik te maken van de Ivanti Integrity Checker Tool (ICT) om te verifiëren of misbruik van de betreffende kwetsbaarheden heeft plaatsgevonden.
Meer informatie
Vragen
Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.
===== ENGLISH =====
Description
Ivanti has disclosed a critical vulnerability in Connect Secure and Policy Secure (CVE-2025-0282), allowing an unauthenticated attacker to remotely execute arbitrary code on a vulnerable system. According to Ivanti, this vulnerability has already been exploited on a small scale to compromise Connect Secure systems.
Additionally, Ivanti has addressed a second vulnerability (CVE-2025-0283), which allows an authenticated attacker to escalate their privileges. While these two vulnerabilities could potentially be exploited in tandem to execute arbitrary code with elevated privileges, Ivanti has stated that they have not observed any exploitation of the second vulnerability. This could possible change now that information on the second vulnerability has been published.
Vulnerable versions
The following Ivanti products are affected by both vulnerabilities:
- Ivanti Connect Secure 22.7: version 22.7R2.4 and earlier
- Ivanti Policy Secure 22.7: version 22.7R1.2 and earlier
- Ivanti Neurons for ZTA Gateways 22.7: version 22.7R2.3 and earlier
Additionally, Ivanti Connect Secure 9.1 is vulnerable to CVE-2025-0283 but not to CVE-2025-0282. As this version reached End-of-Life (EOL) status on December 31, 2024, Ivanti will not release a patch for it.
Solutions and workarounds
Ivanti strongly recomments using the Ivanti Integrity Checker Tool (ICT) to verify the integrity of your system.
- If the ICT scan reports no issues: Proceed with installing updates.
- If the ICT scan detects compromise: Perform a factory reset to remove any malicious elements from the system before proceeding with the update.
For Connect Secure, Ivanti has released version 22.7R2.5, which addresses these vulnerabilities. It is strongly recommended to install this update as soon as possible after performing an ICT scan.
For Policy Secure and Neurons for ZTA Gateways, Ivanti plans to release updates on January 21, 2025, as these systems are generally not exposed directly to the internet and therefore pose a lower risk.
Detection of possible misuse
Ivanti advises using the Ivanti Integrity Checker Tool (ICT) to verify whether exploitation of these vulnerabilities has occurred.
More information
Questions
For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl. |