Ivanti heeft uitgegeven een waarschuwing met betrekking tot een zero-day-kwetsbaarheid, bijgehouden als CVE-2025-0282in zijn veelgebruikte VPN-apparaten die zijn uitgebuit om klantnetwerken in gevaar te brengen. Het beveiligingslek kan zonder authenticatie worden misbruikt, waardoor aanvallers op afstand kwaadaardige code op Ivanti’s Connect Secure, Policy Secure en ZTA Gateways-producten kunnen plaatsen.
Ivanti waarschuwt voor zero-day-kwetsbaarheid in VPN-apparaten
De kritieke fout, die woensdag werd bekendgemaakt, heeft gevolgen voor Ivanti Connect Secure, dat wordt beschouwd als “de meest gebruikte SSL VPN door organisaties van elke omvang, in elke grote sector.” Het bedrijf werd zich bewust van de kwetsbaarheid toen de Integrity Checker Tool (ICT) kwaadaardige activiteiten op apparaten van klanten ontdekte. Ivanti erkent dat het op de hoogte was van een “beperkt aantal klanten” wier apparaten gecompromitteerd waren.
Hoewel er een patch beschikbaar is voor Connect Secure, worden patches voor Policy Secure en ZTA Gateways, waarvan niet is bevestigd dat ze kunnen worden misbruikt, pas op 21 januari verwacht. Ivanti heeft ook een tweede kwetsbaarheid geïdentificeerd, CVE-2025-0283die nog niet is geëxploiteerd.
Negeer het niet: de cyberbeveiligingsupdate van Adobe kan uw gegevens opslaan
Mandiant, een incidentresponsbedrijf, gemeld dat het al medio december 2024 de exploitatie van CVE-2025-0282 heeft waargenomen. Hoewel Mandiant de kwetsbaarheden niet definitief in verband heeft gebracht met een specifieke dreigingsactoren, vermoedt het betrokkenheid van een aan China gelieerde cyberspionagegroep, bekend als UNC5337 En UNC5221. Deze groep heeft eerder de kwetsbaarheden van Ivanti uitgebuit om massale hacks tegen klanten uit te voeren.
Volgens TechCrunchBen Harris, CEO van watchTowr Labs, merkte de wijdverbreide impact op van de nieuwste Ivanti VPN-fout, wat aangeeft dat aanvallen kenmerken vertonen die typerend zijn voor een geavanceerde aanhoudende dreiging. Het Britse National Cyber Security Centre onderzoekt ook gevallen van actieve exploitatie die netwerken in het Verenigd Koninkrijk treffen. Ondertussen heeft het Amerikaanse cyberbeveiligingsagentschap CISA de kwetsbaarheid toegevoegd aan zijn catalogus van bekende uitgebuite kwetsbaarheden.
Link naar Chinese cyberspionnen
Mandiant koppelde de exploitatie van CVE-2025-0282 aan Chinese cyberactoren en merkte het gebruik op van een eerder ontdekte malwarefamilie genaamd Spawn. Deze toolkit bevat verschillende kwaadaardige tools, zoals een installatieprogramma, een tunneler en een SSH-backdoor, allemaal gekoppeld aan spionageactiviteiten toegeschreven aan UNC5337.
Naast Spawn heeft Mandiant twee nieuwe malwarefamilies geïdentificeerd, genaamd DryHook en PhaseJam, die momenteel niet geassocieerd zijn met een bekende bedreigingsgroep. De exploitatieketen houdt in dat aanvallers verzoeken verzenden om de softwareversies van het apparaat te identificeren en vervolgens CVE-2025-0282 gebruiken om toegang te krijgen, beveiligingsmaatregelen uit te schakelen en extra malware te implementeren.
Eenmaal gecompromitteerd, gebruikten de aanvallers de PhaseJam-dropper om webshells op de aangesloten apparaten te maken. PhaseJam wijzigt ook upgradescripts om daadwerkelijke updates te blokkeren. De Spawn-toolkit, die bedoeld is om bij systeemupgrades te blijven bestaan, wordt ook samen met de nieuwe malwarefamilies ingezet.
Het primaire doel van de aanvallers lijkt het stelen van gevoelige informatie met betrekking tot VPN-sessies, API-sleutels en inloggegevens te zijn door databases op de getroffen apparaten te archiveren en deze gegevens klaar te maken voor exfiltratie. DryHook is gebruikt om gebruikersreferenties vast te leggen tijdens authenticatieprocessen.
Beveiligingsexperts raden systeembeheerders aan een fabrieksreset uit te voeren en te upgraden naar Ivanti Connect Secure versie 22.7R2.5. Dit advies is van cruciaal belang gezien het feit dat ruim 3.600 ICS-apparaten eerder online waren blootgesteld toen de eerste kwetsbaarheid werd aangekondigd, hoewel het aantal sindsdien is gedaald tot ongeveer 2.800, wat wijst op een aanhoudend aanzienlijk risico.
Uitgelichte afbeeldingscredits: Kerem Gülen/Midjourney
