Skip to main content
Shaping Europe’s digital future
News article | Publicatie

Gezamenlijke verklaring over beveiligde Ivanti Connect en Ivanti Policy Secure Vulnerabilities (Ivanti Connect Secure and Ivanti Policy Secure Vulnerability)

De Europese Commissie, Enisa, het Agentschap van de Europese Unie voor cyberbeveiliging, CERT-EU, Europol en het netwerk van de nationale responsteams voor computerbeveiligingsincidenten van de EU (CSIRT-netwerk) hebben de actieve benutting van kwetsbaarheden in de Ivanti Connect Secure and Ivanti Policy Secure Gateway-producten, commerciële virtuele particuliere netwerken (VPN), die voorheen Pulse Connect Secure werden genoemd, nauwlettend gevolgd.

Na de eerste bekendmaking van twee kwetsbaarheden begin januari zijn er op 31 januari 2024 nog twee kwetsbaarheden bekendgemaakt, die gevolgen hebben voor alle ondersteunde versies van Ivanti Connect Secure en Ivanti Policy Secure Gateway-producten en het voor aanvallers mogelijk maken commando’s op het systeem uit te voeren. Reeds medio januari was een bredere exploitatie van de aanvankelijk gemelde kwetsbaarheden vastgesteld. 

Aangezien dit een zich ontwikkelende situatie is, bevelen wij alle organisaties ten zeerste aan om de richtsnoeren van de leden van het CSIRT-netwerk en CERT-EU regelmatig te controleren met het oog op de meest recente beoordeling en advies. Voor gedetailleerde instructies over het invullen van de geadviseerde fabrieksreset kunnen organisaties ook de gedetailleerde instructies van de verkoper volgen.

Het is van cruciaal belang dat organisaties adequaat reageren op de meest recente ontwikkelingen om hun kritieke bedrijfsactiviteiten te hervatten.

De meest recente door de leden van het CSIRT-netwerk gepubliceerde adviezen zijn te vinden in hun officiële communicatiekanalen. Organisaties kunnen ook verwijzen naar de richtsnoeren van CERT-EU die door Enisa worden ondersteund als adviesverzameling.

Enisa en alle relevante EU-actoren zullen deze bedreiging blijven volgen om bij te dragen tot het algemene situationeel bewustzijn op het niveau van de Unie.

EU beleid

Organisaties moeten zich er verder van bewust zijn dat fabrikanten van hardware- en softwareproducten, met inbegrip van VPN-oplossingen, op grond van de wet inzake cyberweerbaarheid van de EU, zodra deze van kracht is, gedurende de hele levenscyclus van dergelijke producten de beginselen van beveiliging door ontwerp moeten volgen. Dit omvat het onverwijld verhelpen van kwetsbaarheden. Gezien hun kritieke karakter zullen VPN-oplossingen worden onderworpen aan strenge conformiteitsbeoordelingseisen. U kunt ook meer lezen over de cyberbeveiligingsstrategie en het cyberbeveiligingsbeleid van de EU.

Middelen voor mitigatiemaatregelen :