Er wordt actief misbruik gemaakt van meerdere kwetsbaarheden in Ivanti Connect Secure en Ivanti Policy Secure gateways. Deze kwetsbaarheden, waaronder CVE-2024-21893, maken het mogelijk om op afstand zonder inloggegevens willekeurige code uit te voeren met administratorrechten. Hierdoor kunnen aanvallers systemen volledig overnemen en bijvoorbeeld ransomware uitrollen of gevoelige informatie stelen. Het Nationaal Cyber Security Centrum (NCSC) kwalificeert deze kwetsbaarheden als High/High, wat duidt op een grote kans op misbruik en ernstige impact.

Ivanti heeft beveiligingsupdates beschikbaar gesteld voor diverse versies van Connect Secure, waaronder 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1 en ZTA versie 22.6R1.3. Het Amerikaanse CISA waarschuwt dat eerdere mitigerende maatregelen mogelijk niet voldoende zijn en adviseert om de updates zo snel mogelijk te installeren. Ivanti raadt daarnaast een factory reset aan na het toepassen van patches, zoals toegelicht in de advisory van Ivanti.

Onderzoekers en securitybedrijf Volexity hebben grootschalig misbruik van de kwetsbaarheden vastgesteld. Er is een exploit beschikbaar die misbruik van CVE-2023-46805 en mogelijk CVE-2024-21887 mogelijk maakt. Voor het detecteren van malware is een externe detectietool beschikbaar. Ivanti verwachtte de eerste updates in de week van 22 januari 2024.

Ivanti Connect Secure, voorheen Pulse Secure, is een VPN-oplossing die vaak direct met internet verbonden is. Scaninformatie van cybersecuritybureau Shadowserver Foundation toont aan dat er in Nederland ruim 500 van deze systemen vindbaar zijn. Alle ondersteunde versies van Connect Secure (9.x en 22.x) en Policy Secure zijn kwetsbaar. Ivanti heeft niet onderzocht of niet-ondersteunde versies ook kwetsbaar zijn.