Bijna drieduizend Ivanti vpn-servers met kritiek lek online toegankelijk

[Captain Kirk]

Bijna drieduizend Ivanti vpn-systemen met een kritieke kwetsbaarheid die remote code execution mogelijk maakt, waaronder 122 in Nederland, zijn vanaf het internet toegankelijk, zo meldt The Shadowserver Foundation op basis van eigen onderzoek. Updates voor het beveiligingslek in Ivanti Connect Secure (ICS) zijn sinds 11 februari beschikbaar, maar veel organisaties hebben die nog niet geïnstalleerd.

Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. De kritieke kwetsbaarheid, aangeduid als CVE-2025-22467, betreft een stack-based bufferoverflow waardoor een aanvaller op afstand code kan uitvoeren. Om het beveiligingslek te kunnen misbruiken moet een aanvaller geauthenticeerd zijn, maar elke willekeurige gebruiker is voldoende.

Een aanvaller zou bijvoorbeeld de inloggegevens van een vpn-gebruiker kunnen compromitteren en daarmee het lek op de vpn-server kunnen misbruiken. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9.9 beoordeeld. Ivanti kwam op 11 februari met updates en zegt dat het niet bekend is met misbruik van de kwetsbaarheid. Beveiligingslekken in Ivanti Connected Secure zijn in het verleden geregeld ingezet bij aanvallen.

The Shadowserver Foundation is een stichting die zich met de bestrijding van cybercrime bezighoudt en geregeld online scans naar kwetsbare systemen op internet uitvoert. Bij de laatste scan werd gezocht naar Ivanti vpn-servers die de update voor CVE-2025-22467 niet hebben geïnstalleerd. Dit leverde 2850 ip-adressen op. Het grootste deel daarvan bevindt zich in de VS en Japan. Nederland staat met 122 kwetsbare systemen op de vijfde plek in het overzicht.

 

bron: https://www.security.nl