Noch eine Sicherheitslücke bei Ivanti entdeckt

Nachdem Angreifer drei der vier kürzlich entdeckten Schwachstellen in Systemen von Ivanti bereits massenhaft ausgenutzt hatten, hat der Anbieter inzwischen einen neuen, hochgradig gefährlichen Bug in seinen Connect Secure-VPN-Geräten bekannt gemacht.

Noch eine Sicherheitslücke bei Ivanti entdeckt

Die neueste Schwachstelle mit der Bezeichnung CVE-2024-22024 ist schon die fünfte innerhalb eines Monats. Laut einer Mitteilung von Ivanti ist jedoch nur "eine begrenzte Anzahl unterstützter Versionen" der Connect Secure-, Policy Secure- und ZTA-Gateways (Zero Trust Access) betroffen. Böswillige Akteure könnten die Lücke nutzen, "um die Authentifizierung zu umgehen und auf bestimmte, eingeschränkte Ressourcen zuzugreifen", so das Unternehmen. Mit 8,3 von 10 Punkten hat die neue Schwachstelle die Einstufung als "hoch gefährlich".

Entdeckt wurde sie während des internen Überprüfungs- und Code-Testprozesses bei Ivanti. "Bislang haben wir keine Hinweise darauf, dass diese Schwachstelle auch in freier Wildbahn ausgenutzt wird", beschwichtigt Ivanti seiner Mitteilung.

Es werden immer mehr

Die Nachricht ging an die Öffentlichkeit, nachdem der Threat -Tracker Shadowserver einen Alarm ausgelöst hatte. Anfangs berichteten die Shadowserver-Forscher von 170 eindeutigen IP-Adressen, die versuchen, die Schwachstelle für Angriffen zu nutzen. Letzte Woche kamen die Angriffe dann bereits von 630 verschiedenen IPs, berichtete Techcrunch.

Diese Schwachstelle, die erstmals am 31. Januar bekannt wurde, ist die dritte in Connect Secure, die Hacker in großem Umfang nutzen. Die zwei anderen davor waren, laut der Forscher des Cybersicherheitsunternehmens Volexity, seit dem 16. Januar im Angriffseinsatz.

Bei den ersten Schwachstellen handelt es sich um eine zur Umgehung der Authentifizierung (CVE-2023-46805) und eine zur Einfügung von Befehlen (CVE-2024-21887). Werden diese Schwachstellen gemeinsam genutzt, ist keinerlei Authentifizierung erforderlich, das heißt "der Angreifer kann bösartige Anfragen erstellen und beliebige Befehle auf dem System ausführen", so das Unternehmen.

Die Schwachstellen betreffen laut Ivanti "alle unterstützten Versionen" von Connect Secure sowie das Policy Secure-Gateway. Die beiden ersten Ivanti VPN-Schwachstellen werden in Zusammenhang mit der China nahestehenden Cyberspionage-Gruppe UNC5221 gebracht, aber auch mit anderen, nicht kategorisierten Bedrohungstruppen.

Patches und Abhilfemaßnahmen

Ivanti veröffentlichte den ersten Patch für die ersten entdeckten VPN-Schwachstellen am 31. Januar und hat inzwischen Abhilfemaßnahmen für alle fünf Connect Secure-Schwachstellen bereitgestellt. Für den neu entdeckten Authentifizierungs-Bypass hat der Anbieter den unautorisierten Zugriff auf "verwundbare Endpunkte jetzt effektiv blockiert".

Der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) könnte das nicht genug sein. Sie hat am 1. Februar angeordnet, dass Bundesbehörden ihre Ivanti Connect Secure VPNs innerhalb von 48 Stunden abschalten müssen.

Höhepunkte

/news/4340693/netapp-channel-chef-maik-ohne-sagt-servus

/news/4340672/wortmann-macht-eine-milliarde-halbjahresumsatz

/news/4340660/cato-networks-und-die-sase-strategie-mehr-selbstbewusstsein-geht-nicht