Thought Leadership
Ivanti kommt nicht zur Ruhe: Der Anbieter von Unternehmens-VPN-Lösungen hat zwei weitere Zero-Day-Schwachstellen in seinem Connect Secure VPN-Angebot gefunden. Auch das BSI warnt und habe bereits Kenntnise über “mehrere kompromittierte Systeme” in Deutschland.
Diese Nachricht folgt auf eine Meldung, die gerade einmal 3 Wochen zurückliegt. Angreifer hatten zwei andere Schwachpunkte ausgenutzt, nämlich CVE-2023-46805 und CVE-2024-21887. Diese seit Anfang Dezember bekannten Sicherheitslücken sollen insbesondere von Hackern, die von der chinesischen Regierung unterstützt werden, verwendet wurden sein, um in die Netzwerke von Kunden einzudringen und dort Daten zu entwenden.
Die neu entdeckten Schwachstellen, gekennzeichnet als CVE-2024-21888 und CVE-2024-21893, bergen erneut ernsthafte Risiken. CVE-2024-21888 ermöglicht eine Privilegienerhöhung. CVE-2024-21893 ist ein Zero-Day-Fehler, der es Angreifern erlaubt, ohne Authentifizierung auf bestimmte eingeschränkte Ressourcen zuzugreifen. Ivanti habe bereits eine gezielte Ausnutzung dieser Serverseitigen Schwachstelle beobachtet.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat unterdessen mitgeteilt, dass es von mehreren kompromittierten Systemen in Deutschland Kenntnis habe.
Dies bringt laut BSI alle zuvor mitigierten Systeme erneut in Gefahr. Das BSI gab der Schwachstelle die Bedrohungsstufe 3, sie ist somit geschäftskritisch. IT-Sicherheitsverantwortliche sollten deshalb so schnell wie möglich die Betroffenheit der eigenen Organisation prüfen und den von Ivanti bereitgestellten Workaround umsetzen, bis Patches verfügbar sind. Das Anwenden des Workarounds könne jedoch zu Einschränkungen in der Funktionalität führen, heißt es von der Behörde.
Dem BSI wurden kompromittierte Systeme in Deutschland gemeldet. Sofern die Meldungen an das Bundesamt nicht
www.bsi.bund.de
von den Betroffenen selbst, sondern über Partner erfolgten, wurden die zuständigen Stellen anschließend durch das BSI
benachrichtigt. Ungeschützte Systeme werden von einer Vielzahl an Schadwaretypen, darunter mittlerweile
auch Cryptominer, infiziert .
Workaround
Das BSI erklärt den Workaround folgendermaßen:
“Ivanti Kunden können die Mitigations XML-Datei (mitigation.release.20240107.1.xml) im Download Portal (nach Anmeldung) [IVAN24e] herunterladen. Die XML-Datei kann dann wie folgt importiert werden (kein Neustart notwendig):
- Navigieren Sie zu Maintenance > Import/Export > Import XML
- Klicken Sie auf den Button “Browse” und wählen Sie die XML-Datei aus
- Zum Abschluss klicken Sie auf den Button “Import”
Für Ivanti Connect Secure ergeben sich im Folgenden Einschränkungen für die Admin REST Automatisierungs-Funktionalität, die erweiterte HTML5-Funktionalität im Endnutzer-Portal, für die JSAM Funktionalität, die Rewriter Funktionalität, den Auto-Launch von PSAL Install und die Admin CRL Konfiguration. Für Ivanti Policy Secure kommt es durch den Workaround zu einer signifikanten Verschlechterung des (Remote) Profiler, die Authentifikation zu IPS Instanzen wird jedoch weiterhin ermöglicht, außerdem ist UEBA adaptive Authentifikation nicht mehr verfügbar.”
Unternehmen sollten die Warnung ernst nehmen. Ivanti rechnet mit einem deutlichen Anstieg der Ausnutzung der Schwachstellen.
