Gefährliche Schwachstelle in Ivanti VPN entdeckt

Table of Contents

Die kürzlich entdeckten Schwachstellen in Ivanti Connect Secure und Ivanti Policy Secure, CVE-2023-46805 und CVE-2024-21887, stellen ein ernstes Sicherheitsrisiko dar. Diese Schwachstellen sind besonders kritisch, da sie von Hackern ausgenutzt werden können, um unbefugten Zugang zu erlangen und Befehle auf betroffenen Systemen auszuführen.

CVE-2023-46805 ist eine Authentifizierungsbypass-Schwachstelle in der Webkomponente von Ivanti Connect Secure und Ivanti Policy Secure. Diese Schwachstelle ermöglicht es einem Angreifer, Kontrollüberprüfungen zu umgehen und auf eingeschränkte Ressourcen zuzugreifen. Sie betrifft alle unterstützten Versionen von Ivanti ICS und Policy Secure 9.x und 22.x. Der zugehörige CVSSv3-Score liegt bei 8.2.

CVE-2024-21887 hingegen ist eine kritische Befehlsinjektionsschwachstelle in der Webkomponente von Ivanti ICS und Policy Secure, die es einem authentifizierten Benutzer ermöglicht, speziell gestaltete Anfragen zu senden und willkürliche Befehle auf dem Gerät auszuführen. Diese Schwachstelle betrifft ebenfalls alle unterstützten Versionen von Ivanti ICS und Policy Secure 9.x und 22.x und hat einen CVSSv3-Score von 9.1.

Die Entdeckung und die aktive Ausnutzung dieser Schwachstellen wurden von der Sicherheitsfirma Volexity beobachtet. Ivanti hat zwar noch keine Patches veröffentlicht, bietet aber ein Minderungsskript an, das Kunden sofort verwenden sollten. Patches werden voraussichtlich zwischen dem 22. Januar und dem 19. Februar 2024 veröffentlicht.

Die Schwachstellen wurden in Verbindung mit der Implantation der GLASSTOKEN-Webshell beobachtet, die einem chinesischen staatlichen Bedrohungsakteur zugeschrieben wird. Diese Webshells ermöglichen es Angreifern, auch nach der Behebung der Schwachstellen, die zur Netzwerkinfiltration genutzt wurden, weiterhin Zugriff auf das Netzwerk zu behalten.

Die Ivanti Connect Secure, früher bekannt als Pulse Connect Secure, ist ein Sicherheitsgerät, das in den letzten Jahren in einer Reihe von Bedrohungskampagnen ins Visier genommen wurde.

Es ist wichtig, dass Ivanti Connect Secure- oder Policy Secure-Kunden die vom Anbieter bereitgestellten Workarounds sofort anwenden und ihre Umgebungen auf Anzeichen eines Kompromisses untersuchen. Ivanti weist Kunden, die nicht unterstützte Versionen des Produkts verwenden, an, auf eine unterstützte Version zu aktualisieren, bevor sie den Workaround anwenden.

Update 1.2.24: weitere Lücken CVE-2024-21888 und CVE-2024-21893 aufgetaucht

CVE-2024-21888 und CVE-2024-21893 sind zwei bedeutende Sicherheitslücken, die von Ivanti in ihren Connect Secure- und Policy Secure-Systemen offengelegt wurden. CVE-2024-21888 ist eine Schwachstelle zur Privilegien-Erweiterung mit einem CVSS-Score von 8.8, die es einem Benutzer ermöglicht, die Berechtigungen auf Administratorniveau zu erhöhen. CVE-2024-21893 hingegen ist eine Schwachstelle für Serverseitige Anfragenfälschung (SSRF) mit einem CVSS-Score von 8.2, die es Angreifern ermöglicht, auf bestimmte eingeschränkte Ressourcen ohne Authentifizierung zuzugreifen​​.

Ivanti hat Sicherheitsupdates veröffentlicht, um diese Schwachstellen anzugehen, die in allen unterstützten Versionen (9.x und 22.x) von Ivanti Connect Secure und Policy Secure Gateways sowie in Ivanti Neurons für Zero Trust Access gefunden wurden. Es wird dringend empfohlen, dass Organisationen die bereitgestellten Software-Updates anwenden oder, falls Updates für bestimmte Softwareversionen noch nicht verfügbar sind, die von Ivanti bereitgestellten Minderungsmaßnahmen befolgen​​​​.

Für nicht gepatchte Versionen stehen Minderungsmaßnahmen zur Verfügung, indem eine Mitigationsdatei (mitigation.release.20240126.5.xml) importiert wird, die auf dem Ivanti-Downloadportal zu finden ist. Ivanti hat angekündigt, dass Patches für andere Versionen in den nächsten Wochen stufenweise veröffentlicht werden, wobei der letzte Patch in der Woche beginnend mit dem 26. Februar zur Verfügung gestellt wird​​.

Für weitere Informationen und detaillierte Anweisungen zum Schutz Ihrer Systeme besuchen Sie bitte die Ivanti Knowledge Base und folgen Sie den Anweisungen zur Anwendung der Sicherheitsupdates oder der Minderungsmaßnahmen.

Update 9.2.24: CVE-2024-22024 aufgetaucht

CVE-2024-22024 ist eine XML External Entity (XXE)-Schwachstelle, die in der SAML-Komponente von Ivanti Connect Secure (Versionen 9.x, 22.x), Ivanti Policy Secure (Versionen 9.x, 22.x) und ZTA-Gateways gefunden wurde. Diese Schwachstelle ermöglicht es einem Angreifer, auf bestimmte eingeschränkte Ressourcen ohne Authentifizierung zuzugreifen. Sie wurde aufgrund ihres Potenzials, Authentifizierungsmechanismen zu umgehen und unbefugten Zugang zu sensiblen Informationen zu erlangen, als erhebliches Sicherheitsrisiko hervorgehoben.

Related Posts

Hacker Angriffstechnik: DNS Hijacking

DNS-Hijacking ist eine Art von Cyberangriff, bei dem ein Angreifer den DNS-Verkehr umleitet, um Internetnutzer von legitimen Websites auf betrügerische Websites umzuleiten. Der Angreifer manipuliert die DNS-Antworten, so dass die Anfragen des Opfers auf einen vom Angreifer kontrollierten Server umgeleitet werden, statt auf die beabsichtigte Zielwebsite. Dies kann zum Diebstahl von Anmeldeinformationen, zur Verbreitung von Malware oder zum Sammeln sensibler Informationen führen. DNS-Hijacking ist effektiv, weil es oft unbemerkt bleibt und den Angreifer in die Lage versetzt, eine große Anzahl von Nutzern zu beeinflussen.

Read More

Sicherheitswarnung für IBM DB2 veröffentlicht

Am 8. Januar 2024 wurde eine Sicherheitswarnung für IBM DB2 veröffentlicht. Diese betrifft das Betriebssystem Windows und das Produkt IBM DB2. Die Schwachstelle, gekennzeichnet als CVE-2023-47145, ermöglicht es lokalen Angreifern, ihre Privilegien zu erhöhen. Der CVSS Base Score liegt bei 8,4, was auf ein hohes Risiko hinweist. Betroffen sind IBM DB2 Versionen 11.5.x, 10.5.0.x und 11.1.4.x. Nutzer dieser Systeme sollten sicherstellen, dass sie auf dem neuesten Stand sind und die neuesten Sicherheitspatches installieren. Weitere Informationen finden Sie im IBM Security Bulletin 7105500 vom 07. Januar 2024

Read More

Die Sea Turtle Malware Kampagne

Die “Sea Turtle”-Cyber-Spionage-Kampagne, die von einer mit der Türkei verbundenen Bedrohungsgruppe durchgeführt wird, hat Telekommunikations-, Medien-, Internetdienstanbieter und IT-Dienstleister sowie kurdische Websites in den Niederlanden ins Visier genommen. Die Kampagne zielt darauf ab, politisch motivierte Informationen wie persönliche Daten von Minderheitengruppen und potenziellen politischen Dissidenten zu sammeln. Die Gruppe, die auch als Cosmic Wolf, Marbled Dust, Teal Kurma und UNC1326 bekannt ist, wurde erstmals im April 2019 von Cisco Talos dokumentiert und führt seit Januar 2017 Aktivitäten durch, die hauptsächlich auf DNS-Hijacking basieren, um Anmeldeinformationen zu ernten.

Read More