Cybercriminelen en AI aanvallen maken gebruik van verouderde Ivanti Connect Secure systemen

Ivanti Connect Secure is een populaire oplossing voor Virtual Private Network (VPN)-toegang, gebruikt door veel organisaties over de hele wereld. Het biedt veilige toegang tot interne netwerken voor externe medewerkers en is daarmee een belangrijk onderdeel van de digitale infrastructuur van bedrijven. Echter, zoals bij veel software, geldt dat de veiligheid afneemt naarmate een systeem veroudert. Dit is precies het geval met Ivanti Connect Secure-apparaten die zich in het End-of-Life (EOL)-stadium bevinden. Bij Cybercrimeinfo hebben we al diverse meldingen ontvangen van organisaties die slachtoffer zijn geworden van cybercriminelen die gebruik maken van kwetsbaarheden in deze verouderde systemen, wat een ernstige bedreiging vormt voor de getroffen bedrijven.

Wanneer een apparaat het EOL-stadium bereikt, betekent dit dat de leverancier geen beveiligingsupdates of patches meer aanbiedt. Dit creëert een enorm risico voor organisaties die deze systemen blijven gebruiken, omdat de kwetsbaarheden steeds vaker worden aangewend door cybercriminelen om toegang te krijgen tot netwerken. Cybercrimeinfo heeft waargenomen dat aanvallers misbruik maken van specifieke kwetsbaarheden in deze verouderde systemen, met als gevolg dat gevoelige gegevens worden gestolen of systemen volledig worden overgenomen. De verontrustende situatie benadrukt de noodzaak voor organisaties om snel actie te ondernemen en verouderde systemen te vervangen of te updaten.

Kwetsbaarheden in Ivanti Connect Secure

Een van de belangrijkste kwetsbaarheden die Cybercrimeinfo in verband brengt met Ivanti Connect Secure-apparaten is de CVE-2025-22457. Deze kritieke kwetsbaarheid betreft een remote code execution (RCE)-fout die aanvallers in staat stelt om op afstand code uit te voeren zonder enige vorm van authenticatie. Dit betekent dat cybercriminelen de volledige controle over het getroffen systeem kunnen overnemen zonder dat ze zich hoeven aan te melden. Het probleem werd aanvankelijk gezien als een relatief onschuldige bug, maar later werd duidelijk dat het een ernstig beveiligingslek betrof. Ivanti heeft een patch uitgebracht om deze kwetsbaarheid te verhelpen in versie 22.7R2.6 van Ivanti Connect Secure, maar voor apparaten die al in het EOL-stadium zitten, is het te laat om een beveiligingsupdate te ontvangen.

Bijvoorbeeld, versies zoals Pulse Connect Secure 9.1.x, die eind 2024 hun End-of-Support (EOS)-datum bereikten, ontvangen geen verdere updates. Dit betekent dat organisaties die deze versies nog steeds gebruiken, blootgesteld worden aan de risico’s van deze en andere kwetsbaarheden. Zonder de nodige beveiligingsmaatregelen is het vrijwel onvermijdelijk dat cybercriminelen de zwakke plekken zullen exploiteren om toegang te krijgen tot bedrijfsnetwerken, wat kan leiden tot gegevensdiefstal, ransomware-aanvallen of zelfs de volledige uitval van systemen.

Maatregelen voor organisaties

De waarschuwing van Cybercrimeinfo heeft belangrijke implicaties voor organisaties die Ivanti Connect Secure-apparaten gebruiken, vooral diegenen die nog steeds werken met verouderde versies. Er zijn verschillende stappen die bedrijven kunnen nemen om hun systemen te beschermen en het risico van een aanval te minimaliseren. De belangrijkste maatregel is om verouderde apparaten onmiddellijk te patchen of te vervangen. Dit is de enige manier om te zorgen dat organisaties niet kwetsbaar blijven voor de bovengenoemde kwetsbaarheden.

Voor de apparaten die momenteel als kwetsbaar worden beschouwd, zoals Pulse Connect Secure 9.1R18.9 en eerdere versies, Ivanti Connect Secure 22.7R2.5 en eerder, en Ivanti Policy Secure 22.7R1.3 en eerdere versies, is het essentieel om contact op te nemen met Ivanti voor ondersteuning bij het migreren naar een ondersteunde versie. Dit kan het risico van een exploitatie aanzienlijk verkleinen. Voor organisaties die geen onmiddellijke oplossing kunnen vinden, is het raadzaam om tijdelijk andere beveiligingsmaatregelen te implementeren totdat een patch of vervanging mogelijk is.

Een andere belangrijke stap is het uitvoeren van de Ivanti External Integrity Checker (ICT). Deze tool helpt organisaties bij het detecteren van tekenen van compromittering op hun systemen. Het is belangrijk op te merken dat de ICT alleen een momentopname biedt en mogelijk geen malware detecteert als het apparaat al is hersteld naar een schone staat. Desondanks is het uitvoeren van deze tool een cruciaal onderdeel van een bredere beveiligingsstrategie.

Het belang van netwerkmonitoring en incidentrapportage

Naast het patchen en vervangen van verouderde systemen, moeten organisaties ook hun netwerkomgeving grondig controleren op verdachte activiteiten. Dit kan door het uitvoeren van scans op de netwerkinfrastructuur en door gebruik te maken van Indicatoren van Compromittering (IoC’s) die beschikbaar zijn via verschillende community-netwerken zoals MISP (Malware Information Sharing Platform). Deze indicatoren kunnen helpen bij het identificeren van systemen die mogelijk al gecompromitteerd zijn.

Het melden van cyberincidenten helpt niet alleen de getroffen organisaties, maar draagt ook bij aan de bredere strijd tegen cybercriminaliteit. Hoe meer informatie er gedeeld wordt over cyberdreigingen, hoe beter overheden en andere organisaties in staat zijn om gezamenlijke maatregelen te nemen tegen aanvallers.

Actie is essentieel

De exploitatie van kwetsbaarheden in verouderde Ivanti Connect Secure-apparaten is een dringende waarschuwing voor organisaties die verouderde systemen gebruiken. De risicosituatie kan niet worden onderschat, aangezien cybercriminelen actief misbruik maken van de zwakke plekken in deze apparaten om toegang te krijgen tot netwerken. Cybercrimeinfo heeft duidelijk aangegeven dat het essentieel is voor organisaties om snel te handelen, verouderde systemen te vervangen of te patchen, en hun netwerken grondig te controleren op tekenen van compromittering.

Organisaties moeten niet wachten totdat een incident zich voordoet, maar proactief de nodige maatregelen treffen om hun systemen te beschermen. Dit kan het verschil maken tussen een goed beveiligde infrastructuur en het slachtoffer worden van een schadelijke cyberaanval. Door actie te ondernemen en best practices te volgen, kunnen bedrijven hun netwerken beschermen en hun digitale infrastructuur veilig houden voor de toekomst.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.

Wat is?

• Ivanti Connect Secure

Ivanti Connect Secure is een software-oplossing die organisaties helpt om veilig verbinding te maken met hun interne netwerken via het internet. Dit gebeurt meestal via een Virtual Private Network (VPN), wat ervoor zorgt dat de communicatie tussen de gebruiker en het bedrijfsnetwerk versleuteld en dus veilig is.

• End-of-Life (EOL)

End-of-Life (EOL) betekent dat de software of hardware niet langer wordt ondersteund door de fabrikant. Dit houdt in dat er geen nieuwe updates, waaronder beveiligingspatches, meer beschikbaar zijn. Verouderde systemen die EOL hebben bereikt, zijn kwetsbaar voor aanvallen, omdat beveiligingslekken niet meer worden verholpen.

• Remote Code Execution (RCE)

Remote Code Execution (RCE) is een type kwetsbaarheid waarbij een aanvaller de mogelijkheid heeft om op afstand schadelijke code uit te voeren op een systeem. Dit betekent dat de aanvaller controle krijgt over het systeem zonder dat fysieke toegang nodig is. Dit kan ernstige gevolgen hebben, zoals het stelen van gegevens of het overnemen van het systeem.

• CVE (Common Vulnerabilities and Exposures)

CVE is een systeem dat gebruikt wordt om beveiligingslekken of kwetsbaarheden in software en hardware te identificeren. Elke kwetsbaarheid krijgt een uniek nummer (zoals CVE-2025-22457), zodat onderzoekers, ontwikkelaars en beveiligingsexperts snel en gemakkelijk naar specifieke problemen kunnen verwijzen.

• Patchen

Patchen betekent het toepassen van een beveiligingsupdate of het corrigeren van een softwarefout. Patches worden vaak uitgebracht door softwareleveranciers om beveiligingslekken te verhelpen of om de werking van een programma te verbeteren. Organisaties moeten regelmatig patchen om hun systemen veilig te houden.

• Ivanti External Integrity Checker (ICT)

De Ivanti External Integrity Checker (ICT) is een tool die organisaties helpt bij het controleren van de integriteit van hun Ivanti Connect Secure-apparaten. Het doel is om tekenen van compromittering, zoals het installeren van malware, op te sporen. Dit helpt bij het identificeren van aanvallen op systemen die mogelijk al gecompromitteerd zijn.

• Indicatoren van Compromittering (IoC's)

Indicatoren van Compromittering (IoC’s) zijn tekenen die erop wijzen dat een systeem mogelijk is gehackt of gecompromitteerd. Dit kunnen bijvoorbeeld verdachte bestanden, ongebruikelijke netwerkactiviteit of specifieke IP-adressen zijn die gekoppeld zijn aan cybercriminelen. Het identificeren van IoC's helpt organisaties om aanvallen te detecteren en te stoppen.

• MISP (Malware Information Sharing Platform)

MISP is een platform dat wordt gebruikt om informatie over malware en cyberdreigingen te delen. Het is een open-source platform dat organisaties helpt om snel te reageren op cyberdreigingen door indicatoren van compromittering (IoC's) en andere relevante gegevens te delen. Dit helpt de gemeenschap om gezamenlijk aanvallen tegen te gaan.

• End-of-Support (EOS)

End-of-Support (EOS) is vergelijkbaar met EOL, maar het betekent specifiek dat de leverancier van het product geen ondersteuning meer biedt. Dit omvat het niet meer verstrekken van technische assistentie of updates, wat betekent dat gebruikers van dat systeem kwetsbaar worden voor nieuwe beveiligingsproblemen.

Lees ook: Verhoogde aanvallen op kwetsbaarheden in ivanti, cleo en andere systemen: Nederland in het vizier door aankomende NAVO top