2 min Security

Update: VPN’s 11 Nederlandse bedrijven misbruikt

Update: VPN’s 11 Nederlandse bedrijven misbruikt

Update 02/02/2024 – Voor de besproken kwetsbaarheden in dit artikel zijn nu patches beschikbaar. Tegelijkertijd is er een nieuwe zero-day ontdekt, waardoor de veiligheid nog niet op orde is.

Origineel – Hackers buiten wereldwijd kritieke kwetsbaarheden uit om volledige controle te verkrijgen over Ivanti VPN-appliances. Elf gecompromitteerde VPN’s bevinden zich in Nederland.

Dat blijkt uit nieuwe cijfers van securitybedrijf Censys. Ivanti heeft op 10 januari aangekondigd dat het product kwetsbaarheden vertoont. Inmiddels spreekt Censys over “wereldwijde massa-exploitatie”.

Bij misbruik van de kwetsbaarheden kunnen hackers opdrachten uitvoeren op kwetsbare servers, waardoor de activiteiten van bedrijven worden verstoord. Duizenden bedrijfsapparaten zijn daardoor kwetsbaar. Ivanti heeft echter nog geen officiële patch vrijgegeven.

De cijfers

Censys heeft scans uitgevoerd op de Ivanti Connect Secure-servers in zijn dataset. Op basis daarvan identificeert het securitybedrijf 412 unieke hosts met het achterdeurtje. In totaal zijn er iets meer dan 26.000 unieke Connect Secure-hosts. Dit betekent dat 1,5 procent van de hosts gecompromitteerd is.

De cijfers van Censys tonen aan dat de Ivanti VPN’s van 11 Nederlandse organisaties worden achtervolgd door de kwetsbaarheden. Dit aantal is wel aanzienlijk minder dan het aantal bedrijven in grotere landen. De Verenigde Staten heeft 121 getroffen organisaties, terwijl Duitsland (26) en het Verenigd Koninkrijk (17) Europees gezien het zwaarst getroffen worden. Nederland staat onderaan de lijst, zoals de onderstaande grafiek laat zien.

Een staafdiagram dat het aantal mensen in de Verenigde Staten weergeeft.

Inmiddels hebben meerdere securityonderzoekers de kwetsbaarheid en het misbruik uitgebreid bestudeerd. Op basis van analyses heeft bijvoorbeeld Volexity “reden om te denken dat UTA0178 een Chinese threat actor op staatsniveau is”. Mandiant vult hierop aan dat de cyberaanvallers uit zijn op spionage.

Tip: Ivanti EPMM-kwetsbaarheid actief misbruikt