[Warning] Kritische Sicherheitslücken in Ivanti Connect Secure und Ivanti Policy Secure - aktiv ausgenützt

Thomas Pribitzer pribitzer at cert.at
Thu Jan 11 13:06:22 CET 2024 

11. Jänner 2024

Beschreibung

Sicherheitsforscher:innen haben in Produkten der Firma Ivanti zwei 
schwere Sicherheitslücken entdeckt, deren kombinierte Ausnutzung eine 
vollständige Kompromittierung des Systems über offen erreichbare 
Interfaces ermöglicht.

Die Schwachstellen werden bereits durch gezielt agierende 
Angreifer:innen ausgenutzt. Es ist davon auszugehen, dass zeitnah 
massenweise Ausnutzungsversuche erfolgen werden.

CVE-Nummer(n): CVE-2023-46805, CVE-2023-21887

CVSS Base Score: 9.1

Auswirkungen

Die Ausnutzung der Sicherheitslücken ermöglicht Angreifer:innen die 
vollständige Übernahme von verwundbaren Systemen, sowie den Zugriff auf 
alle darauf gespeicherten Daten.

Betroffene Systeme

Betroffen sind alle aktuell vom Hersteller unterstützten Versionen von 
Ivanti Connect Secure (vormals Pulse Connect Secure) und Ivanti Policy 
Secure. Konkret handelt es sich dabei um folgende Versionsreihen:

   -  9.x
   -  22.x

Der Hersteller macht keine Angaben zu Versionen, die nicht mehr 
unterstützt werden. Es ist aber nicht auszuschliessen, dass auch diese 
Versionen betroffen sind.

Abhilfe

Zur Zeit stehen noch keine Aktualisierungen zur Verfügung, die das 
Problem beheben. Laut Aussage des Herstellers sollen die ersten Updates 
in der Woche des 22.01.2024 zur Verfügung stehen, mit einer finalen 
Version soll in der Woche des 19.02.2024 zu rechnen sein.

In der Zwischenzeit hat Ivanti einen Workaround bereitgestellt, welcher 
die Schwachstellen mitigieren soll. Das Unternehmen empfiehlt allen 
Kund:innen diese schnellstmöglich zu implementieren.

Konkret handelt es sich hierbei um eine XML-Datei, welche Kund:innen von 
der Webseite des Herstellers beziehen können. Diese soll auf den 
betroffenen Systemen, beziehungsweise einem einzelnen System eines 
betroffenen Clusters eingespielt werden.

Details zu dem Workaround, etwaigen Einschränkungen sowie potentiellen 
Beeinträchtigungen des laufenden Betriebs finden sich in einem durch 
Ivanti veröffentlichten Artikel.

Die Anwendung des Workarounds hat jedoch keinerlei Einfluss auf eine 
möglicherweise bereits erfolgte Ausnutzung der Schwachstellen. Wir 
empfehlen daher, potentiell betroffene Systeme einer forensischen 
Untersuchung zu unterziehen.

Das Sicherheitsunternehmen Volexity hat einige Indicators of Compromise 
veröffentlicht, welche bei der bisher einzigen öffentlich bekannten 
Ausnutzung beobachtet wurden. Diese können als erster Anhaltspunkt dienen.

Weiterhin empfiehlt das Ivanti, den internen Integrity Checker (ICT) 
temporär durch den externen Integrity Checker zu ersetzen, da der ICT 
unter Umständen durch Angreifer:innen manipuliert worden sein könnte.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und 
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige 
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

----------------------------------------------------------------------
Informationsquelle(n):

CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command 
Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways 
(Englisch)
https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command 
Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways 
(Englisch)
https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

Active Exploitation of Two Zero-Day Vulnerabilities in Ivanti Connect 
Secure VPN (Englisch)
https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/

CSIRTs Network - Exploitation of Ivanti Connect Secure and Ivanti Policy 
Secure Gateway Zero-Days (Englisch)
https://github.com/enisaeu/CNW/blob/main/advisories/2024/CVE-2023-46805_CVE-2024-21887_Ivanti-Secure-Gateways.md
----------------------------------------------------------------------

Mit freundlichen Grüßen,
CERT.at


-- 
// Thomas Pribitzer <pribitzer at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature.asc
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20240111/8ec76192/attachment.sig>

More information about the Warning mailing list