VS waarschuwt voor 'slapende' malware op Ivanti vpn-servers

In dit artikel:

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) waarschuwt opnieuw voor de Resurge-malware die op Ivanti Connect Secure (vroeger Pulse Secure) vpn-servers sluimert. CISA gaf vorig jaar al een waarschuwing en heeft nu een update gepubliceerd: aanvallers exploiteren kwetsbaarheid CVE-2025-0282 om toegang te krijgen tot vpn-servers en vervolgens Resurge te installeren. De malware legt een webshell neer waarmee inloggegevens kunnen worden gestolen, accounts aangemaakt, wachtwoorden gereset en rechten opgehoogd. Daarnaast kopieert Resurge de webshell naar de bootdisk en manipuleert de coreboot-image en integriteitscontroles, waardoor detectie wordt bemoeilijkt. CISA waarschuwt dat de malware latent kan blijven totdat de aanvaller verbinding maakt, en vermoedt dat veel systemen ongemerkt geïnfecteerd zijn. Organisaties worden opgeroepen hun Ivanti-omgeving te scannen met de beschikbare Indicators of Compromise en direct patches, wachtwoordrotatie, logging en netwerksegmentatie toe te passen.