Virksomheter bør umiddelbart koble Ivanti Connect Secure-enheter av nett.

NCSC anbefaler deretter å følge CISA og Ivantis råd. [1][2] 

Tiltak: 

  1. Isoler systemet
  2. Avkreft kompromittering og overvåk systemet
  3. Eksporter innstillinger og tilbakestill systemet til fabrikkinnstillinger to ganger
  4. Oppdater systemet til nyeste versjon
  5. Importer innstillinger og fjern tidligere workarounds
  6. Tilbakekall og utsted nye sertifikater, nøkler og passord tilknyttet systemet


Mandiant har skrevet en veileder som går i detalj på å ta i bruk ovennevnte tiltak [3].

Virksomheter bør vurdere alternative løsninger for fjernaksess inntil tilstrekkelige sikkerhetsoppdateringer er på plass og det er verifisert at disse ikke kan omgås.

Ivanti Connect Secure-enheter som må tilbakeføres i drift når tiltak er implementert, bør fremover ikke være tilgjengelig fra Internett. Virksomheter bør implementere ekstern tilgangskontroll som klientsertifikat eller en applikasjonsgateway.

To nye sårbarheter er oppdaget i Ivanti Connect Secure: CVE-2024-21888 og CVE-2024-21893 [4]. CVE-2024-21893 er aktivt utnyttet.

Ivanti Policy Secure er sårbar for de samme sårbarhetene som Ivanti Connect Secure: CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893. Ivanti Neurons for ZTA er sårbar for CVE-2024-21893. 

Ivanti Policy Secure og Ivanti Neurons for ZTA bør også oppdateres til nyeste versjon.

NSM NCSC anbefaler virksomheter med behov for bistand å engasjere NSMs kvalitetsordning for hendelseshåndtering [5] og kontakte sitt sektorvise responsmiljø.

NSM NCSC har tidligere varslet om to av sårbarhetene 11. og 17. januar 2024. [6][7]

Referanser:

[1] https://www.cisa.gov/news-events/directives/supplemental-direction-v1-ed-24-01-mitigate-ivanti-connect-secure-and-ivanti-policy-secure

[2] https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways

[3] https://services.google.com/fh/files/misc/ivanti-connect-secure-remediation-hardening.pdf

[4] https://forums.ivanti.com/s/article/CVE-2024-21888-Privilege-Escalation-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure

[5] https://nsm.no/kvalitetsordning

[6] https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/aktiv-utnyttelse-av-kritiske-sarbarheter-ivanti-connect-secure-vpn

[7] https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/oppdatert-varsel-sarbarheter-i-ivanti-connect-secure-vpn

Rettelse: NSM skrev først at virksomheter bør å finne en ny permanent løsning for fjernaksess. Dette ble presisert mandag 5. februar til at virksomheter bør vurdere alternative løsninger for fjernaksess inntil tilstrekkelige sikkerhetsoppdateringer er på plass og det er verifisert at disse ikke kan omgås.