[Warning] Kritische Sicherheitslücken in Ivanti Connect Secure und Ivanti Policy Secure - aktiv ausgenützt
Thomas Pribitzer
pribitzer at cert.at
Thu Jan 11 13:06:22 CET 2024
11. Jänner 2024
Beschreibung
Sicherheitsforscher:innen haben in Produkten der Firma Ivanti zwei
schwere Sicherheitslücken entdeckt, deren kombinierte Ausnutzung eine
vollständige Kompromittierung des Systems über offen erreichbare
Interfaces ermöglicht.
Die Schwachstellen werden bereits durch gezielt agierende
Angreifer:innen ausgenutzt. Es ist davon auszugehen, dass zeitnah
massenweise Ausnutzungsversuche erfolgen werden.
CVE-Nummer(n): CVE-2023-46805, CVE-2023-21887
CVSS Base Score: 9.1
Auswirkungen
Die Ausnutzung der Sicherheitslücken ermöglicht Angreifer:innen die
vollständige Übernahme von verwundbaren Systemen, sowie den Zugriff auf
alle darauf gespeicherten Daten.
Betroffene Systeme
Betroffen sind alle aktuell vom Hersteller unterstützten Versionen von
Ivanti Connect Secure (vormals Pulse Connect Secure) und Ivanti Policy
Secure. Konkret handelt es sich dabei um folgende Versionsreihen:
- 9.x
- 22.x
Der Hersteller macht keine Angaben zu Versionen, die nicht mehr
unterstützt werden. Es ist aber nicht auszuschliessen, dass auch diese
Versionen betroffen sind.
Abhilfe
Zur Zeit stehen noch keine Aktualisierungen zur Verfügung, die das
Problem beheben. Laut Aussage des Herstellers sollen die ersten Updates
in der Woche des 22.01.2024 zur Verfügung stehen, mit einer finalen
Version soll in der Woche des 19.02.2024 zu rechnen sein.
In der Zwischenzeit hat Ivanti einen Workaround bereitgestellt, welcher
die Schwachstellen mitigieren soll. Das Unternehmen empfiehlt allen
Kund:innen diese schnellstmöglich zu implementieren.
Konkret handelt es sich hierbei um eine XML-Datei, welche Kund:innen von
der Webseite des Herstellers beziehen können. Diese soll auf den
betroffenen Systemen, beziehungsweise einem einzelnen System eines
betroffenen Clusters eingespielt werden.
Details zu dem Workaround, etwaigen Einschränkungen sowie potentiellen
Beeinträchtigungen des laufenden Betriebs finden sich in einem durch
Ivanti veröffentlichten Artikel.
Die Anwendung des Workarounds hat jedoch keinerlei Einfluss auf eine
möglicherweise bereits erfolgte Ausnutzung der Schwachstellen. Wir
empfehlen daher, potentiell betroffene Systeme einer forensischen
Untersuchung zu unterziehen.
Das Sicherheitsunternehmen Volexity hat einige Indicators of Compromise
veröffentlicht, welche bei der bisher einzigen öffentlich bekannten
Ausnutzung beobachtet wurden. Diese können als erster Anhaltspunkt dienen.
Weiterhin empfiehlt das Ivanti, den internen Integrity Checker (ICT)
temporär durch den externen Integrity Checker zu ersetzen, da der ICT
unter Umständen durch Angreifer:innen manipuliert worden sein könnte.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
----------------------------------------------------------------------
Informationsquelle(n):
CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command
Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways
(Englisch)
https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command
Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways
(Englisch)
https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
Active Exploitation of Two Zero-Day Vulnerabilities in Ivanti Connect
Secure VPN (Englisch)
https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/
CSIRTs Network - Exploitation of Ivanti Connect Secure and Ivanti Policy
Secure Gateway Zero-Days (Englisch)
https://github.com/enisaeu/CNW/blob/main/advisories/2024/CVE-2023-46805_CVE-2024-21887_Ivanti-Secure-Gateways.md
----------------------------------------------------------------------
Mit freundlichen Grüßen,
CERT.at
--
// Thomas Pribitzer <pribitzer at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature.asc
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20240111/8ec76192/attachment.sig>
More information about the Warning
mailing list