Die kürzlich entdeckten Schwachstellen in Ivanti Connect Secure und Ivanti Policy Secure, CVE-2023-46805 und CVE-2024-21887, stellen ein ernstes Sicherheitsrisiko dar. Diese Schwachstellen sind besonders kritisch, da sie von Hackern ausgenutzt werden können, um unbefugten Zugang zu erlangen und Befehle auf betroffenen Systemen auszuführen.
CVE-2023-46805 ist eine Authentifizierungsbypass-Schwachstelle in der Webkomponente von Ivanti Connect Secure und Ivanti Policy Secure. Diese Schwachstelle ermöglicht es einem Angreifer, Kontrollüberprüfungen zu umgehen und auf eingeschränkte Ressourcen zuzugreifen. Sie betrifft alle unterstützten Versionen von Ivanti ICS und Policy Secure 9.x und 22.x. Der zugehörige CVSSv3-Score liegt bei 8.2.
CVE-2024-21887 hingegen ist eine kritische Befehlsinjektionsschwachstelle in der Webkomponente von Ivanti ICS und Policy Secure, die es einem authentifizierten Benutzer ermöglicht, speziell gestaltete Anfragen zu senden und willkürliche Befehle auf dem Gerät auszuführen. Diese Schwachstelle betrifft ebenfalls alle unterstützten Versionen von Ivanti ICS und Policy Secure 9.x und 22.x und hat einen CVSSv3-Score von 9.1.
Die Entdeckung und die aktive Ausnutzung dieser Schwachstellen wurden von der Sicherheitsfirma Volexity beobachtet. Ivanti hat zwar noch keine Patches veröffentlicht, bietet aber ein Minderungsskript an, das Kunden sofort verwenden sollten. Patches werden voraussichtlich zwischen dem 22. Januar und dem 19. Februar 2024 veröffentlicht.
Die Schwachstellen wurden in Verbindung mit der Implantation der GLASSTOKEN-Webshell beobachtet, die einem chinesischen staatlichen Bedrohungsakteur zugeschrieben wird. Diese Webshells ermöglichen es Angreifern, auch nach der Behebung der Schwachstellen, die zur Netzwerkinfiltration genutzt wurden, weiterhin Zugriff auf das Netzwerk zu behalten.
Die Ivanti Connect Secure, früher bekannt als Pulse Connect Secure, ist ein Sicherheitsgerät, das in den letzten Jahren in einer Reihe von Bedrohungskampagnen ins Visier genommen wurde.
Es ist wichtig, dass Ivanti Connect Secure- oder Policy Secure-Kunden die vom Anbieter bereitgestellten Workarounds sofort anwenden und ihre Umgebungen auf Anzeichen eines Kompromisses untersuchen. Ivanti weist Kunden, die nicht unterstützte Versionen des Produkts verwenden, an, auf eine unterstützte Version zu aktualisieren, bevor sie den Workaround anwenden.
Update 1.2.24: weitere Lücken CVE-2024-21888 und CVE-2024-21893 aufgetaucht
CVE-2024-21888 und CVE-2024-21893 sind zwei bedeutende Sicherheitslücken, die von Ivanti in ihren Connect Secure- und Policy Secure-Systemen offengelegt wurden. CVE-2024-21888 ist eine Schwachstelle zur Privilegien-Erweiterung mit einem CVSS-Score von 8.8, die es einem Benutzer ermöglicht, die Berechtigungen auf Administratorniveau zu erhöhen. CVE-2024-21893 hingegen ist eine Schwachstelle für Serverseitige Anfragenfälschung (SSRF) mit einem CVSS-Score von 8.2, die es Angreifern ermöglicht, auf bestimmte eingeschränkte Ressourcen ohne Authentifizierung zuzugreifen.
Ivanti hat Sicherheitsupdates veröffentlicht, um diese Schwachstellen anzugehen, die in allen unterstützten Versionen (9.x und 22.x) von Ivanti Connect Secure und Policy Secure Gateways sowie in Ivanti Neurons für Zero Trust Access gefunden wurden. Es wird dringend empfohlen, dass Organisationen die bereitgestellten Software-Updates anwenden oder, falls Updates für bestimmte Softwareversionen noch nicht verfügbar sind, die von Ivanti bereitgestellten Minderungsmaßnahmen befolgen.
Für nicht gepatchte Versionen stehen Minderungsmaßnahmen zur Verfügung, indem eine Mitigationsdatei (mitigation.release.20240126.5.xml) importiert wird, die auf dem Ivanti-Downloadportal zu finden ist. Ivanti hat angekündigt, dass Patches für andere Versionen in den nächsten Wochen stufenweise veröffentlicht werden, wobei der letzte Patch in der Woche beginnend mit dem 26. Februar zur Verfügung gestellt wird.
Für weitere Informationen und detaillierte Anweisungen zum Schutz Ihrer Systeme besuchen Sie bitte die Ivanti Knowledge Base und folgen Sie den Anweisungen zur Anwendung der Sicherheitsupdates oder der Minderungsmaßnahmen.
Update 9.2.24: CVE-2024-22024 aufgetaucht
CVE-2024-22024 ist eine XML External Entity (XXE)-Schwachstelle, die in der SAML-Komponente von Ivanti Connect Secure (Versionen 9.x, 22.x), Ivanti Policy Secure (Versionen 9.x, 22.x) und ZTA-Gateways gefunden wurde. Diese Schwachstelle ermöglicht es einem Angreifer, auf bestimmte eingeschränkte Ressourcen ohne Authentifizierung zuzugreifen. Sie wurde aufgrund ihres Potenzials, Authentifizierungsmechanismen zu umgehen und unbefugten Zugang zu sensiblen Informationen zu erlangen, als erhebliches Sicherheitsrisiko hervorgehoben.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: