![cyber[contact]](assets/images/c/cybercontact-managed-cybersecurity-66b4955c.svg "cybercontact - managed cybersecurity"){kind=small}
Kritische Sicherheitslücken in Ivanti Connect Secure und Ivanti Policy Secure - aktiv ausgenützt
11. Jänner 2024
Beschreibung
Sicherheitsforscher:innen haben in Produkten der Firma Ivanti zwei kritische Sicherheitslücken entdeckt, deren kombinierte Ausnutzung eine vollständige Kompromittierung des Systems über offen erreichbare Interfaces ermöglicht.
Die Schwachstellen werden bereits durch gezielt agierende Angreifer:innen ausgenutzt. Es ist davon auszugehen, dass zeitnah massenweise Ausnutzungsversuche erfolgen werden.
CVE-Nummer(n): CVE-2023-46805, CVE-2023-21887
CVSS Base Score: 9.1
Auswirkungen
Die Ausnutzung der Sicherheitslücken ermöglicht Angreifer:innen die vollständige Übernahme von verwundbaren Systemen, sowie den Zugriff auf alle darauf gespeicherten Daten.
Betroffene Systeme
Betroffen sind alle aktuell vom Hersteller unterstützten Versionen von Ivanti Connect Secure (vormals Pulse Connect Secure) und Ivanti Policy Secure. Konkret handelt es sich dabei um folgende Versionsreihen:
- 9.x
- 22.x
Der Hersteller macht keine Angaben zu Versionen, die nicht mehr unterstützt werden. Es ist aber nicht auszuschließen, dass auch diese Versionen betroffen sind.
Abhilfe
Zur Zeit stehen noch keine Aktualisierungen zur Verfügung, die das Problem beheben. Laut Aussage des Herstellers sollen die ersten Updates in der Woche des 22.01.2024 zur Verfügung stehen, mit einer finalen Version soll in der Woche des 19.02.2024 zu rechnen sein.
In der Zwischenzeit hat Ivanti einen Workaround bereitgestellt, welcher die Schwachstellen mitigieren soll. Das Unternehmen empfiehlt allen Kund:innen diese schnellstmöglich zu implementieren.
Konkret handelt es sich hierbei um eine XML-Datei, welche Kund:innen von der Webseite des Herstellers beziehen können. Diese soll auf den betroffenen Systemen, beziehungsweise einem einzelnen System eines betroffenen Clusters eingespielt werden.
Details zu dem Workaround, etwaigen Einschränkungen sowie potentiellen Beeinträchtigungen des laufenden Betriebs finden sich in einem durch Ivanti veröffentlichten Artikel.
Die Anwendung des Workarounds hat jedoch keinerlei Einfluss auf eine möglicherweise bereits erfolgte Ausnutzung der Schwachstellen. Wir empfehlen daher, potentiell betroffene Systeme einer forensischen Untersuchung zu unterziehen.
Das Sicherheitsunternehmen Volexity hat einige Indicators of Compromise veröffentlicht, welche bei der bisher einzigen öffentlich bekannten Ausnutzung beobachtet wurden. Diese können als erster Anhaltspunkt dienen.
Weiterhin empfiehlt das Ivanti, den internen Integrity Checker (ICT) temporär durch den externen Integrity Checker zu ersetzen, da der ICT unter Umständen durch Angreifer:innen manipuliert worden sein könnte.
Hinweis
Generell empfiehlt Cert.at und cyber[contact], sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Informationsquelle(n):
CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways (Englisch)
https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways (Englisch)
https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
Active Exploitation of Two Zero-Day Vulnerabilities in Ivanti Connect Secure VPN (Englisch)
https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/
CSIRTs Network - Exploitation of Ivanti Connect Secure and Ivanti Policy Secure Gateway Zero-Days (Englisch)
https://github.com/enisaeu/CNW/blob/main/advisories/2024/CVE-2023-46805_CVE-2024-21887_Ivanti-Secure-Gateways.md