Begin 2025 werd een kritieke zero-day kwetsbaarheid (CVE-2025-0282) in Ivanti Connect Secure (ICS) bekendgemaakt, die actieve misbruikgevallen veroorzaakte. Deze kwetsbaarheid betreft een stack based buffer overflow met een CVSS-score van 9, waardoor een aanvaller zonder authenticatie willekeurige code kan uitvoeren op het ICS-systeem. Hierdoor kan het security checkpoint zelf worden omzeild en als toegangspunt tot het netwerk worden gebruikt. Tegelijkertijd bracht Ivanti een update uit om deze kwetsbaarheid te verhelpen.

Ivanti Connect Secure fungeert als een beveiligde gateway tussen het openbare internet en het interne netwerk, waarbij het toegang verleent aan gebruikers die voldoen aan vooraf ingestelde beveiligingseisen. Omdat het systeem aan de rand van het netwerk staat, wordt het een edge-device genoemd. Het legt uitgebreide logging vast van alle verbindingen en controles, wat essentieel is voor security reviews en forensisch onderzoek.

Na de publicatie van de update nam het risico op grootschalig misbruik toe doordat aanvallers de kwetsbaarheid konden analyseren via reverse-engineering. Dit leidde tot de ontwikkeling van geautomatiseerde malware, waaronder RESURGE, die deze kwetsbaarheid benut. Volgens een analyse report van het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) schakelt RESURGE door de buffer overflow de beveiligingsfunctie van ICS uit en gebruikt het device als toegangspunt voor de aanvaller.

De RESURGE-malware bestaat uit een primair implantaat en aanvullende tools voor logmanipulatie en firmwaretoegang. Door installatie in zowel firmware als bootimage blijft de malware persistent, ook na herstart of software-updates. Omdat ICS verantwoordelijk is voor identiteitsvalidatie, stelt RESURGE de aanvaller in staat om inloggegevens te verzamelen en misbruiken. De malware activeert zich via een versleutelde mTLS-sessie, wat detectie bemoeilijkt doordat het lijkt op legitieme beveiligde communicatie.

Organisaties wordt geadviseerd om de herstelstappen van Ivanti te volgen om besmetting te voorkomen en, indien nodig, de herstelprocedures toe te passen. Nadere informatie en analyses zijn ook terug te vinden in de Wake-up Wednesday van 04 maart 2026.