Het leed dat edge-device heet

In dit artikel:

Begin 2025 werd een kritieke zero-day in Ivanti Connect Secure (ICS) actief misbruikt: CVE-2025-0282, een stack‑based buffer overflow met een CVSS-score van 9. ICS fungeert als edge‑device tussen internet en het interne netwerk en regelt wie mag verbinden en welke acties zijn toegestaan. Omdat zo’n gateway vertrouwelijke controles en uitgebreide logging uitvoert, is een compromise van dit systeem bijzonder gevaarlijk voor de gehele omgeving.

Wat gebeurde er
- De kwetsbaarheid maakte het mogelijk om zonder authenticatie willekeurige code uit te voeren op het ICS-apparaat. Daarmee konden aanvallers de beveiligingslogica van het device ondermijnen en het gateway‑mechanisme als ingang naar het netwerk gebruiken.
- Ivanti bracht direct een patch uit bij de bekendmaking. Na publicatie nam het risico toe: reverse‑engineering van de patch maakte de exploitatie voor minder geavanceerde aanvallers toegankelijk, en later verscheen geautomatiseerde malware die de kwetsbaarheid misbruikte.

RESURGE‑malware: werkwijze en mogelijkheden
- De door CISA geanalyseerde RESURGE‑familie installeert een primair implantaat (onder meer libdsupgrade.so) plus tools voor logmanipulatie en firmwaretoegang. De malware wordt in firmware en bootimage ingebed, waardoor klassieke herstarts of updates de aanwezigheid niet weghalen.
- RESURGE is aanvankelijk passief en activeert zichzelf via een TLS‑handshake die een versleutelde mTLS‑sessie opzet. Daardoor lijkt het verkeer op legitieme beveiligde communicatie en is detectie lastiger.
- Eenmaal aanwezig kan de actor inloggegevens verzamelen (doordat het gateway-systeem verantwoordelijk is voor authenticatie), logs aanpassen of wissen en zich lateraal door het interne netwerk bewegen. Dat maakt langdurig onopgemerkt misbruik en mogelijke datadiefstal mogelijk.

Risico’s en verspreiding
- Direct na patchpublicatie vergrootte beschikbaar komen van informatie over de kwetsbaarheid de kans op grootschalig misbruik; geautomatiseerde tools maken diepgaande kennis overbodig en vergemakkelijken massale besmetting.
- Zelfs gepatchte systemen kunnen al eerder gecompromitteerd zijn. Een update sluit nieuwe infecties af maar herstelt geen bestaande persistentie.

Detectie en forensisch onderzoek
- Vaststellen of een ICS-apparaat besmet is, vereist specialistisch forensisch onderzoek. Signalen zijn onder meer: onbekende of gewijzigde bibliotheken/firmwarebeelden (bv. libdsupgrade.so), sporen van gewijzigde of ontbrekende logs, ongewone mTLS‑sessies en afwijkend gedrag van het gateway‑proces of gebruikersauthenticaties.
- Omdat logs op het gecompromitteerde systeem onbetrouwbaar kunnen zijn, is het essentieel ook loggegevens van omliggende systemen en netwerkapparatuur te verzamelen om scope en impact te bepalen.

Herstel en mitigatie
- Direct patchen voorkomt nieuwe besmettingen, maar een gecompromitteerd apparaat moet volgens Ivanti’s richtlijnen volledig naar fabrieksinstellingen worden teruggezet: bestaande installatiebestanden zijn niet te vertrouwen vanwege firmware‑infectie.
- Voor herstel geldt: eerst forensisch bewijs veiligstellen en impactonderzoek uitvoeren; daarna pas herstellen. Aanvullende maatregelen omvatten isolatie van het apparaat, credential rotation voor getroffen accounts, monitoring op laterale beweging en het inschakelen van een gespecialiseerd incident‑response team.
- Organisaties moeten beoordelen of er meldplichtige datalekken zijn en passende notificaties voorbereiden.

Belangrijke les
Zero‑day‑aanvallen zijn moeilijk volledig te voorkomen; voorbereiding en organisatorische paraatheid zijn cruciaal. Technische detectie is noodzakelijk, maar net zo belangrijk zijn duidelijke procedures: wie neemt bij een incident initiatief, welke externe partijen worden betrokken en welke stapsgewijze acties zijn vastgesteld. Wie die afspraken al heeft, kan sneller en doeltreffender reageren en schade beperken.

Bronvermelding: de analyse bouwt voort op publicaties van Ivanti, een CISA‑rapport en aanvullende toelichting van Tesorion.