Beveiligingsbedrijf GreyNoise ziet een forse stijging in het aantal scans op Ivanti VPN-systemen. Dat kan erop wijzen dat een nieuwe aanvalsgolf op komst is.
Bedrijven die Ivanti Connect Secure- en Pulse Secure gebruiken, zijn de komende periode maar beter extra waakzaam. De VPN-oplossingen van Ivanti zijn dit en vorig jaar meermaals het doelwit geweest van aanvallen, en volgens beveiligingsbedrijf GreyNoise zijn er aanwijzingen op nieuwe problemen. Het bedrijf ziet opvallend meer activiteit op Ivanti-endpoints.
Op 18 april detecteerde het bedrijf meer dan negen keer zoveel activiteit als normaal. Meer dan 230 unieke IP-adressen probeerden toen deze systemen te bereiken, terwijl normaal minder dan 30 IP-adressen per dag worden geteld. Over een periode van negentig dagen gaat het om 1.0004 IP-adressen. De doelwitten van de scans zijn het vaakst bedrijven uit de Verenigde Staten, Verenigd Koninkrijk en Duitsland.
Op verkenning
Volgens GreyNoise kan deze verhoogde activiteit wel wijzen op een gecoördineerde verkenning in voorbereiding op mogelijke aanvallen. Ivanti Connect Secure-systemen zijn al langer een populair doelwit vanwege hun rol bij remote access in bedrijfsnetwerken. Hoewel er momenteel nog geen specifieke kwetsbaarheden (CVE’s) zijn gekoppeld aan deze scans, zoals begin 2024 het geval was, wijst GreyNoise erop dat soortgelijke patronen eerder voorafgingen aan de ontdekking van nieuwe beveiligingslekken.
GreyNoise adviseert beveiligingsteams om logbestanden te controleren op verdachte pogingen, het inloggen vanaf onbekende IP-adressen te monitoren, bekende verdachte IP-adressen te blokkeren en ICS/IPS-systemen zo snel mogelijk van de laatste updates te voorzien. Via The Register adviseert Ivanti zelf om ervoor te zorgen dat alle devices geüpgraded zijn naar ondersteunde versies.
Niet zo veilig
Ivanti Connect Secure stond in het verleden niet altijd garant voor een beveiligde verbinding. Meerdere lekken veroorzaakten begin 2024 aanvallen wereldwijd. Ivanti oogstte veel kritiek met hoe het de kwetsbaarheden aanpakte. Patches kwamen laattijdig.
De CEO moest publiekelijk mea culpa slaan en beloven dat het bedrijf in de toekomst beter zou doen. Toch kon het niet vermijden dat begin dit jaar weer een nieuw lek aan de oppervlakte kwam. Ivanti en zijn klanten kunnen een nieuw beveiligingsdebacle missen als de pest.