11. januar sendte Nasjonalt cybersikkerhetssenter (NCSC) i NSM ut et varsel om aktiv utnyttelse av to sårbarheter i Ivanti Connect Secure (ICS) VPN [1]. Under følger en oppdatering.

Oppdatering av varselet: 

Volexity varslet 15.01 i en oppdatert blogg-post om at de hadde identifisert over 1700 kompromitterte ICS enheter globalt [2]. Trusselaktører fortsetter å forsøke utnytte sårbarhetene i stort omfang, og det forventes at flere aktører vil forsøke utnytte mulighetsrommet til ondsinnet aktivitet i nær fremtid.

NCSC er kjent med flere kompromitteringer i Norge som følge av sårbarhetene.

Dersom man ikke har innført mitigerende tiltak frem til og med 10. januar, så må man anse Ivanti Connect Secure VPN som kompromittert og gjennomføre undersøkelser umiddelbart.

NCSC anbefaler virksomheter med behov for bistand å engasjere NSMs kvalitetsordning for hendelseshåndtering [4] og kontakte sitt sektorvise responsmiljø.

Det er ønskelig at de som finner tegn til kompromittering melder dette inn til Nasjonalt cybersikkerhetssenter fortløpende.

Referanser: 

[1] https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/aktiv-utnyttelse-av-kritiske-sarbarheter-ivanti-connect-secure-vpn
[2] https://www.volexity.com/blog/2024/01/15/ivanti-connect-secure-vpn-exploitation-goes-global/
[3] https://nsm.no/puls
[4] https://nsm.no/fagomrader/sikkerhetsstyring/leverandorforhold/kvalitetsordning-for-leverandorer-som-handterer-ikt-hendelser