Skip to content
arrow-alt-circle-up icon

Cyber Incident?

arrow-alt-circle-up icon

Call 00800 1744 0000

arrow-alt-circle-up icon

See all Threat Responses
 
Dear Reader,
 
On January 8 2025 multiple vulnerabilities in Ivanti products were disclosed [1]. These vulnerabilities exist in products that typically guard access to sensitive parts of a network. Successful exploitation can give an attacker access to these sensitive network segments, which means that the impact of exploitation is high. Furthermore, one of the affected products is often externally reachable, which makes the risk of exploitation high, too.
The disclosed vulnerabilities allow unauthenticated remote code execution (CVE-2025-0282, CVSS 9.0) and privilege escalation (CVE-2025-0283, CVSS 7.0) in several Ivanti products. There are reports of active exploitation of CVE-2025-0282 [1]. Patches are available for one of the affected products at the time of writing, and we recommend to apply these as soon as possible. There have been no reports of exploit attempts for CVE-2025-0283.
 
Description
The vulnerability tracked as CVE-2025-0282 is a remote code execution vulnerability in the web components of Ivanti Connect Secure, Ivanti Policy Secure and Ivanti Neurons for ZTA gateways which allows a remote attacker to access restricted resources by bypassing control checks. The vulnerability tracked as CVE-2025-0283 was found during the investigation of CVE-2025-0282 and is a stack-based buffer overflow that allows a local authenticated attacker to escalate their privileges. These two vulnerabilities are not chainable.
Both CVE-2025-0282 and CVE-2025-0283 affect the following Ivanti products and respective versions:
 
  • Ivanti Connect Secure before version 22.7R2.5
  • Ivanti Policy Secure before version 22.7R1.2
  • Ivanti Neurons for ZTA gateways before version 22.7R2.3
Investigations by Mandiant of known exploitation indicates that attackers employed anti-forensic techniques. No definitive attribution to a threat actor or actors has been made at this point, but Mandiant draws links to known state actor groups [2].
 
Impact
We estimate the impact of CVE-2025-0282 as HIGH as it may allow attackers to bypass access protection to environments usually guarded by Ivanti Connect Secure.
We estimate the impact of CVE-2025-0283 as HIGH as it allows authenticated users to perform unauthenticated actions that exceed their configured permissions. This can lead to further unauthenticated access to other resources, as the affected products are used for access control.
 
Risk
We estimate the risk of CVE-2025-0282 as HIGH. VPN products are often externally reachable, and Ivanti is aware of active exploitation of this vulnerability.
We estimate the risk of CVE-2025-0283 as MEDIUM as it requires an existing account on the appliance for successful exploitation.
 
Mitigation
For Ivanti Connect Secure, patches are available to mitigate the vulnerabilities.
Exploitation of CVE-2025-0282 can be identified by Ivanti's Integrity Checker Tool (ICT), either by the results or the lack of steps that the tool displays. For information about the correct output of the ICT tool see this blog post [2]. Ivanti recommends to perform a factory reset of Ivanti Connect Secure appliances regardless of whether ICT indicates compromise [1].
As of this writing, no patches are available yet for Ivanti Policy Secure and Ivanti Neurons for ZTA Gateways for either of the two vulnerabilities.
 
What should you do?
Use the Integrity Checker Tool (ICT) as described above to check for signs of exploitation. If there are indicators of compromise, or if the tool displays a limited amount of steps, contact us before proceeding.
Ivanti advises the following remediation for the affected products [1]:
 
  • Ivanti Connect Secure:
    1. Perform a factory reset [3], out of abundance of caution.
    2. Upgrade the appliance to version 22.7R2.5 or newer. 
    3. Continue to monitor your internal and external Integrity Checker Tool (ICT) for signs of exploitation.
  • Ivanti Policy Secure: Install patches as soon as they become available (expected on January 21 2025).
  • Ivanti Neurons for ZTA Gateways: Install patches as soon as they become available (expected on January 21 2025).
Available patches can be obtained from Ivanti's Download Portal [4].
We recommend to take Ivanti Policy Secure appliances offline until patches become available if the product is externally reachable. Based on Ivanti's communication, exploitation of Ivanti Neurons for ZTA Gateway is less likely, which is why we do not currently see the need to make the same recommendation for this product. However, we do recommend to disable unprivileged accounts in this product where possible in order to limit the attack surface, until patches are available.
 
What will Northwave do?
For MDR customers with Network Intrusion Detection (NIDS) exploit detection and logging for CVE-2025-0282 is now live. This detection specifically monitors on repeated requests made to the appliance by attackers attempting to determine the version of Ivanti Secure Connect. Alerts for this exploit will be operational next week, logging and manual detection is already live.
 
Vulnerability Management customers will be informed in case vulnerable systems are detected in their infrastructure. 
We will monitor any developments regarding this vulnerability. If new critical information about this threat arises we will reach out to you. You can call us by phone or send us an email if you would like additional information.

E-mail: soc@northwave-cybersecurity.com
Do you have an incident right now? Call our Incident Response Team: 00800 1744 0000

Disclaimer applies, see below.

Sources
 
Beste lezer,
 
Op 8 januari 2025 zijn er meerder kwetsbaarheden bekend gemaakt in producten van Ivanti [1]. De kwetsbaarheden zijn gevonden in producten die vaak de toegang regelen tot gevoelige delen van een netwerk. Succesvol misbruik van deze kwetsbaarheden kan aanvallers toegang geven tot deze gevoelige delen van een netwerk, waardoor de impact van misbruik als hoog wordt ingeschat. Bovendien is één van de kwetsbare Ivanti producten vaak extern bereikbaar, waardoor ook het risico hoog is dat er misbruik wordt gemaakt van één van de gevonden kwetsbaarheden.
Deze kwetsbaarheden kunnen leiden tot niet-geauthenticeerde uitvoering van code (CVE-2025-0282, CVSS 9.0) en escalatie van privileges (CVE-2025-0283, CVSS 7.0) in meerdere Ivanti producten. Er zijn meldingen over actief misbruik van CVE-2025-0282 [1]. Er zijn patches beschikbaar voor één van de kwetsbare producten, en we bevelen aan om deze patches zo snel mogelijk toe te passen. Er zijn tot heden geen meldingen over misbruik van CVE-2025-0283.
 
Beschrijving
De kwetsbaarheid met kenmerk CVE-2025-0282 is een kwetsbaarheid voor uitvoering van code op afstand in de web-componenten van Ivanti Connect Secure, Ivanti Policy Secure en Ivanti Neurons for ZTA gateways, waardoor aanvallers toegang kunnen krijgen tot beschermde resources door het omzeilen van toegangsbeperkingen. De kwetsbaarheid met kenmerk CVE-2025-0283 werd ontdekt tijdens het onderzoek naar CVE-2025-0282 en is een stack-gebaseerde buffer overflow kwetsbaarheid waardoor lokale geauthenticeerde aanvallers hun gebruikersrechten kunnen verhogen.
CVE-2025-0282 en CVE-2025-0283 zijn van toepassing voor de volgende Ivanti producten en bijhorende versies:
 
  • Ivanti Connect Secure tot versie 22.7R2.5
  • Ivanti Policy Secure tot versie 22.7R1.2
  • Ivanti Neurons for ZTA gateways tot versie 22.7R2.3
Onderzoek door Mandiant toont aan dat aanvallers gebruik maken van technieken die forensisch onderzoek moeilijker maken. Op dit moment is er geen duidelijkheid over de dreigingsgroep(en) die verantwoordelijk zijn voor het misbruik van deze kwetsbaarheden, maar Mandiant heeft overeenkomsten gevonden met bekende state actor groepen [2].
 
Impact
We schatten de impact van CVE-2025-0282 in als HOOG aangezien misbruik van deze kwetsbaarheid kan leiden tot het omzeilen van toegangsbeperkingen tot gevoelige gegevens of systemen.
We schatten de impact van CVE-2025-0283 in als HOOG aangezien aanvallers hierdoor mogelijk niet-geauthenticeerde acties kunnen uitvoeren buiten hun geconfigureerde rechten. Dit kan tot verdere niet-geauthenticeerde toegang leiden in andere systemen, aangezien de kwetsbare producten gebruikt worden voor het configureren van toegangsbeperkingen.
 
Risico
We schatten het risico van CVE-2025-0282 in als HOOG. VPN producten zijn vaak extern benaderbaar, wat het risico op misbruik verhoogt. Bovendien zijn er al meldingen van actief misbruik van deze kwetsbaarheid.
We schatten het risico van CVE-2025-0283 in als MEDIUM aangezien er een bestaande account nodig is om deze kwetsbaarheid te misbruiken.
 
Mitigatie
Voor Ivanti Connect Secure zijn patches beschikbaar om de kwetsbaarheden te beperken.
Misbruik van CVE-2025-0282 kan worden gedetecteerd door Ivanti's Integrity Checker Tool (ICT), óf direct door de output óf aan de hand van het ontbreken van stappen die de tool weergeeft in de output. Voor informatie over de juiste weergave van uitvoer van de ICT tool, zie deze blogpost [2]. Ivanti raadt aan om een ​​factory reset uit te voeren van Ivanti Connect Secure-apparaten, ongeacht of ICT een compromis aangeeft [1].
Op het moment van schrijven zijn er nog geen patches beschikbaar voor Ivanti Policy Secure en Ivanti Neurons voor ZTA Gateways voor beide kwetsbaarheden.
 
Wat moet u doen?
Gebruik de Integrity Checker Tool (ICT) zoals boven beschreven. Als er indicatoren van misbruik zijn, of als de tool een beperkt aantal stappen weergeeft, neem dan contact met ons op voordat u verdergaat.
Ivanti adviseert de volgende migigerende stappen voor de kwetsbare producten [1]:
 
  • Ivanti Connect Secure:
    1. Zet het apparaat terug naar de fabrieksinstellingen [3] ter zekerheid.
    2. Upgrade het apparaat naar versie 22.7R2.5 of nieuwer.
    3. Blijf monitoren voor indicaties van misbruik met behulp van de interne en externe Integrity Checker Tool (ICT).
  • Ivanti Policy Secure: Installeer de patches zodra deze beschikbaar komen (verwacht op 21 januari 2025).
  • Ivanti Neurons for ZTA Gateways: Installeer de patches zodra deze beschikbaar komen (verwacht op 21 januari 2025).
Beschikbare patches zijn verkrijgbaar in Ivanti's Download Portal [4].
We bevelen aan om Ivanti Policy Secure apparaten offline te halen tot dat er patches beschikbaar zijn mits deze apparaten extern benaderbaar zijn. Op dit moment zien we geen noodzaak om deze aanbeveling ook te maken voor Ivanti Neurons for ZTA Gateway, aangezien Ivanti een kleinere kans op misbruik van CVE-2025-0282 verwacht in dit product. We bevelen wél aan om niet-bevoorrechte gebruikersaccounts te deactiveren waar mogelijk tot dat er patches beschikbaar zijn, en hiermee het aanvalsoppervlak te beperken.
 
Wat doet Northwave?
Voor MDR klanten met Network Intrusion Detection (NIDS) is er exploit detectie en logging voor CVE-2025-0282. Deze detectie monitort specifiek op patronen die aantonen dat een aanvaller probeert de versie van een Ivanti Secure Connect apparaat te detecteren. Alarmering voor deze exploit zal volgende week actief worden, en logging en handmatige detectie is nu al actief.
Northwave informeert Vulnerability Management klanten wanneer in hun infrastructuur kwetsbare systemen worden ontdekt. 
Northwave houdt de ontwikkelingen omtrent deze kwetsbaarheid in de gaten. Als er belangrijke nieuwe informatie omtrent deze dreiging bekend wordt, stellen wij u hiervan op de hoogte. Als u behoefte heeft aan extra informatie zijn we zowel telefonisch als via email bereikbaar.
 
E-mail: soc@northwave-cybersecurity.com
Heeft u nu een incident? Bel ons Incident Response Team: 00800 1744 0000 
 
Disclaimer is van toepassing, zie onder.
 
Bronnen
 

Disclaimer

Northwave has made every effort to make this information accurate and reliable. However, the information provided is without warranty of any kind and its use is at the sole risk of the user. Northwave does not accept any responsibility or liability for the accuracy, content, completeness, legality or reliability of the information provided. We will not be liable for any loss or damage of whatever nature, direct or indirect, consequential or other, whether arising in contract, tort or otherwise, which may arise as a result of your use of, or inability to use, this information or any additional information provided by us in direct or indirect relation to the information provided here.