Am Abend des 10. Januar 2024 veröffentlichte der Hersteller Ivanti ein Advisory zu zwei bislang ungepatchten Schwachstellen in mehreren Produkten, die bereits für Cyber-Angriffe ausgenutzt werden.
Betroffen sind demnach folgende Lösungen:
- Ivanti Connect Secure (ehemals Ivanti Pulse Secure)
- Ivanti Policy Secure
- Ivanti Neurons for Zero Trust Access (ZTA) (siehe weiter unten)
Grundsätzlich sind alle derzeit im Support befindlichen Versionen dieser Produkte betroffen. Für ältere, nicht mehr unterstützte Patchstände hat der Hersteller bislang keine Untersuchungen vorgenommen.
In Ivantis Neurons for ZTA Gateways liegen die Schwachstellen zwar grundsätzlich vor, können im laufenden Betrieb bislang jedoch nicht angegriffen werden.
Bei den entdeckten Attacken kombinierten Angreifende eine Authentication Bypass- (CVE-2023-46805) (CVSS-Bewertung: 8.2) und eine Command Injection-Schwachstelle (CVE-2024-21887) (CVSS-Bewertung: 9.1) miteinander, um aus der Ferne Schadcode auf den Ivanti-Geräten auszuführen. Der Hersteller berichtet von Angriffen auf weniger als 10 Kunden.
Update 1:
Volexity veröffentlichte am 15. Januar 2024 einen Blogbeitrag über eine breite Ausnutzung der Schwachstellen. Mehr als 1.700 kompromittierte Ivanti Connect Secure Instanzen konnten von Volexity weltweit identifiziert werden.
Update 2:
Am 31. Januar 2024 informierte der Hersteller über die Entdeckung einer neuen Privilege Escalation (CVE-2024-21888) sowie einer Server Side Request Forgery (SSRF) Schwachstelle (CVE-2024-21893) in den o.g. Produkten. Ivanti gibt an, dass die SSRF Schwachstelle (CVE-2024-21893), die Angreifenden ohne Authentifizierung Zugriff auf bestimmte Ressourcen erlaubt, bereits ausgenutzt wurde.
Ivanti hat inzwischen erste Patches für Ivanti Connect Secure veröffentlicht, die schnellstmöglichst installiert werden sollten. Ebenso steht eine neue Mitigationsmaßnahme zur Verfügung, die, falls kein Patch installiert werden kann, eingespielt werden sollte.
Es wurde außerdem beobachtet, dass Angreifende Detektionsmaßnahmen umgehen und sich auf interne Systeme ausbreiten konnten.
Update 3:
Am Abend des 8. Februar informierte Ivanti über die Entdeckung einer weiteren Schwachstelle in der Security Assertion Markup Language (SAML)-Komponente der o.g. Geräte. Mithilfe einer XML External Entity (XXE)-Sicherheitslücke könnten Angreifende in die Lage versetzt werden, ohne Authentifizierung auf geschützte Bereiche von Ivanti Connect Secure, Policy Secure oder ZTA Gateways zuzugreifen. Die Schwachstelle mit der Kennung CVE-2024-22024 wurde nach dem Common Vulnerability Scoring System (CVSS) mit einer hohen Kritikalität (8.3) bewertet.
Betroffen sind nur bestimmte Software-Versionen, darunter jedoch auch Patchstände von Anfang Februar, für die Patches bereitstehen, welche eingespielt werden müssen. Eine Ausnutzung von CVE-2024-22024 ist bislang nicht bekannt.
Update 4:
Ivanti hat eine neue Version des externen Integritätsprüfungs-Tools (ICT) veröffentlicht, das nun alle Dateien auf dem System anzeigen kann sowie einen unverschlüsselten Snapshot zur Analyse zur Verfügung stellt.
Die IT-Sicherheitsforscher von Mandiant konnten bei Analysen von beobachteter Malware auf Ivanti Appliances feststellen, dass Angreifende versuchten, persistente Malware zu installieren, die nicht durch das Zurücksetzen oder durch ein Update entfernt wird. Bislang sind jedoch keine Fälle bekannt, in denen derartige Installationsversuche erfolgreich waren.