Wouter Hoeffnagel - 07 februari 2024

Nieuw lek in Ivanti Connect Secure en Policy Secure massaal uitgebuit

Aanvallers buiten een server-side request forgery (SSRF) in Ivanti Connect Secure- en Ivanti Policy Secure-appliances op grote schaal uit. Met behulp van het lek kunnen kwaadwillenden authentificatie omzeilen.

Nieuw lek in Ivanti Connect Secure en Policy Secure massaal uitgebuit image

Het gaat om CVE-2024-21893, een lek waarvoor Ivanti op 31 januari 2024 voor het eerst waarschuwde en versie 9.x en 22.x van de oplossingen treft. Het gaat om een zeroday-lek, waarvan het bestaan tot nu toe niet bekend was. Een beperkt aantal klanten van Ivanti zou al via het lek zijn aangevallen.

Op grote schaal uitgebuit

Threat monitoring-dienst Shadowserver waarschuwt dat kwaadwillenden de SRFF-bug inmiddels op grote schaal uitbuiten. Het meldt inmiddels meer dan 170 IP-adressen te hebben geïdentificeerd waarmee aanvallen worden uitgevoerd. Ook blijkt uit cijfers van het bedrijf dat dit nieuwe lek inmiddels aanzienlijk meer wordt uitgebuit dan de andere kwetsbaarheden die recentelijk in Ivanti Connect Secure en Ivanti Policy Secure opdoken. De focus van de aanvallers lijkt dan ook verschoven naar CVE-2024-21893.

Beveiligingsbedrijf Rapid7 bracht op 2 februari een proof of concept-exploit uit. Shadowserver wijst erop dat aanvallers voor deze publicatie al vergelijkbare methoden gebruikten voor het uitbuiten van de kwetsbaarheid. De publicatie van de proof of concept-code zou dan ook geen grote bijdrage hebben geleverd aan de hoeveelheid aanvallen waarbij het lek wordt uitgebuit.

Leanix BW 19 febr tm 17 maart 2024 Schneider Electric BN BW start week 27 tm week 29
Schneider Electric BN start week 27 tm week 29

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!