Ivanti und BSI warnen

Weitere Ivanti-Schwachstelle wird in Deutschland ausgenutzt

Hacker

Ivanti kommt nicht zur Ruhe: Der Anbieter von Unternehmens-VPN-Lösungen hat zwei weitere Zero-Day-Schwachstellen in seinem Connect Secure VPN-Angebot gefunden. Auch das BSI warnt und habe bereits Kenntnise über “mehrere kompromittierte Systeme” in Deutschland.

Diese Nachricht folgt auf eine Meldung, die gerade einmal 3 Wochen zurückliegt. Angreifer hatten zwei andere Schwachpunkte ausgenutzt, nämlich CVE-2023-46805 und CVE-2024-21887. Diese seit Anfang Dezember bekannten Sicherheitslücken sollen insbesondere von Hackern, die von der chinesischen Regierung unterstützt werden, verwendet wurden sein, um in die Netzwerke von Kunden einzudringen und dort Daten zu entwenden.

Anzeige

Die neu entdeckten Schwachstellen, gekennzeichnet als CVE-2024-21888 und CVE-2024-21893, bergen erneut ernsthafte Risiken. CVE-2024-21888 ermöglicht eine Privilegienerhöhung. CVE-2024-21893 ist ein Zero-Day-Fehler, der es Angreifern erlaubt, ohne Authentifizierung auf bestimmte eingeschränkte Ressourcen zuzugreifen. Ivanti habe bereits eine gezielte Ausnutzung dieser Serverseitigen Schwachstelle beobachtet.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat unterdessen mitgeteilt, dass es von mehreren kompromittierten Systemen in Deutschland Kenntnis habe.

Dies bringt laut BSI alle zuvor mitigierten Systeme erneut in Gefahr. Das BSI gab der Schwachstelle die Bedrohungsstufe 3, sie ist somit geschäftskritisch. IT-Sicherheitsverantwortliche sollten deshalb so schnell wie möglich die Betroffenheit der eigenen Organisation prüfen und den von Ivanti bereitgestellten Workaround umsetzen, bis Patches verfügbar sind. Das Anwenden des Workarounds könne jedoch zu Einschränkungen in der Funktionalität führen, heißt es von der Behörde.

Dem BSI wurden kompromittierte Systeme in Deutschland gemeldet. Sofern die Meldungen an das Bundesamt nicht
von den Betroffenen selbst, sondern über Partner erfolgten, wurden die zuständigen Stellen anschließend durch das BSI
benachrichtigt. Ungeschützte Systeme werden von einer Vielzahl an Schadwaretypen, darunter mittlerweile
auch Cryptominer, infiziert
.

www.bsi.bund.de


Workaround

Das BSI erklärt den Workaround folgendermaßen:

“Ivanti Kunden können die Mitigations XML-Datei (mitigation.release.20240107.1.xml) im Download Portal (nach Anmeldung) [IVAN24e] herunterladen. Die XML-Datei kann dann wie folgt importiert werden (kein Neustart notwendig):

  1. Navigieren Sie zu Maintenance > Import/Export > Import XML
  2. Klicken Sie auf den Button “Browse” und wählen Sie die XML-Datei aus
  3. Zum Abschluss klicken Sie auf den Button “Import”

Für Ivanti Connect Secure ergeben sich im Folgenden Einschränkungen für die Admin REST Automatisierungs-Funktionalität, die erweiterte HTML5-Funktionalität im Endnutzer-Portal, für die JSAM Funktionalität, die Rewriter Funktionalität, den Auto-Launch von PSAL Install und die Admin CRL Konfiguration. Für Ivanti Policy Secure kommt es durch den Workaround zu einer signifikanten Verschlechterung des (Remote) Profiler, die Authentifikation zu IPS Instanzen wird jedoch weiterhin ermöglicht, außerdem ist UEBA adaptive Authentifikation nicht mehr verfügbar.”

Unternehmen sollten die Warnung ernst nehmen. Ivanti rechnet mit einem deutlichen Anstieg der Ausnutzung der Schwachstellen.

Lars Becker

IT Verlag GmbH -

Redakteur

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.