Update: Zero-Day-Schwachstellen in verschiedenen Ivanti-Produkten

Die Warnmeldung wurde am 4. April 2024 aufgrund weiterführender Informationen aktualisiert. 

Aufgrund der schwerwiegenden Sicherheitslücken in Ivanti-Produkten hat die Cybersecurity and Infrastructure Security Agency (CISA) in ihrer Funktion als oberste US-Cybersicherheitsbehörde eine Netztrennung aller betriebenen Ivanti-Geräte für jede US-Bundesbehörde angewiesen.  Dies geschah über eine Emergency Directive am 02.02.2024 und musste bis 23:59 Uhr desselben Tages umgesetzt werden.

Weitere Details erfahren Sie unter nachfolgendem Link.

Das Cybersicherheits-Unternehmen Volexity berichtet über eine breite Ausnutzung der Schwachstellen. Die Firma konnte weltweit mehr als 1.700 kompromittierte Instanzen von Ivanti Connect Secure feststellen. Das BSI geht deshalb von einer Kompromittierung bei Systemen aus, bei denen zuvor keine Mitigationsmaßnahmen getroffen worden waren. Eine Prüfung auf Kompromittierung sei deshalb notwendig.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Schwachstellen in folgenden Produkten von Ivanti. Für alle Produkte sind Patches verfügbar:

• Ivanti Connect Secure (ehemals Ivanti Pulse Secure)
• Ivanti Policy Secure
• Ivanti Neurons for Zero Trust Access (ZTA)

Alle derzeit im Support befindlichen Versionen dieser Produkte sind betroffen. 

In Ivantis Neurons for ZTA Gateways liegen die Schwachstellen zwar grundsätzlich vor, können im laufenden Betrieb bislang jedoch nicht angegriffen werden.

Bei den entdeckten Angriffen kombinierten Angreifende eine Authentication-Bypass- und eine Command-Injection-Schwachstelle, um Schadcode auf den Ivanti-Geräten auszuführen.

Zwischenzeitlich informiert der Hersteller über weitere Schwachstellen, über die ohne Authentifizierung Zugriff auf Ressourcen möglich ist. Eine davon wurde bereits ausgenutzt. Eine weitere, breite Ausnutzung ist zu erwarten.

Eckdaten zu den Schwachstellen

CVE-Nummern (mit CVSS-Base-Score):

• CVE-2023-46805: 9.1 (kritisch)
• CVE-2024-21887: 9.1 (kritisch)
• CVE-2024-21888: 8.8 (hoch)
• CVE-2024-21893: 8.8 (hoch)
• CVE-2024-22024: 8.3 (hoch)
• CVE-2024-21894: 8.2 (hoch)
• CVE-2024-22053: 8.2 (hoch)
• CVE-2024-22052: 7.5 (hoch)
• CVE-2024-22023: 5.3 (mittel)

Die Schwachstelle CVE-2024-22024 betrifft nur folgende Versionen:

• Ivanti Connect Secure
  • 9.1R14.4
  • 9.1R17.2
  • 9.1R18.3
  • 22.4R2.2
  • 22.5R1.1
• Ivanti Policy Secure
  • 22.5R1.1
• Ivanti Neurons for Zero Trust Access
  • 22.6R1.3

Das BSI geht aufgrund der branchenübergreifenden und weiten Verbreitung von vielen Betroffenen aus. Die Angriffe mit Zero-Day-Schwachstellen lassen darauf schließen, dass die Angreifenden über umfangreiche Ressourcen verfügen.

Mit der kurzfristigen Veröffentlichung der Sicherheitslücken durch Ivanti ist davon auszugehen, dass weitere Akteure Angriffsversuche unternehmen werden.

Angreifende können die frühere Mitigationsmaßnahme und Erkennenungsmaßnahmen umgehen. Durch die neu festgestellten Schwachstellen sind alle bisher mitigierten Systeme erneut gefährdet. Eine neue Mitigationsmaßnahme ist verfügbar.

• IT-Sicherheitsverantwortliche sollten schnellstmöglich prüfen, ob ihre Organisation betroffen ist.
• Die verfügbaren Patches für Ivanti Connect Secure sollten schnellstmöglich installiert werden:
  • 9.1R14.6
  • 9.1R15.4
  • 9.1R16.4
  • 9.1R17.4
  • 9.1R18.5
  • 22.1R6.2
  • 22.2R4.2
  • 22.3R1.2
  • 22.4R1.2
  • 22.4R2.4
  • 22.5R1.3
  • 22.5R2.4
  • 22.6R2.3
• Die verfügbaren Patches für Ivanti Policy Secure sollten schnellstmöglich installiert werden:
  • 9.1R16.4
  • 9.1R17.4
  • 9.1R18.5
  • 22.4R1.2
  • 22.5R1.2
  • 22.6R1.2,  
• Die verfügbaren Patches für ZTA Gateways sollten schnellstmöglich installiert werden:
  • 22.5R1.6
  • 22.6R1.5
  • 22.6R1.7
• Wenn frühere Patches bereits installiert wurden, ist ein erneutes Zurücksetzen der Produkte nicht erforderlich. Andernfalls sollten vor Installation der Patches alle Produkte zurückgesetzt werden. Anschließend sollten alle Passwörter und Zertifikate ausgetauscht werden. Nur dies kann eine Kompromittierung ausschließen.
• Alle Patches ersetzen früher veröffentlichte Patches.
• Ggf. sollten sie den beschriebenen Workaround umsetzen (siehe Link unten), bis Patches installiert werden können. Der Workaround kann Funktionen jedoch erheblich einschränken.
  Ivanti rät dringend davon ab, Konfigurationen auf Geräten auszurollen, auf denen die Mitigationsmaßnahmen bereits durchgeführt wurden. Andernfalls funktioniert die Mitigation nicht mehr.
• Ivanti-Lösungen sollten auf eine mögliche Kompromittierung geprüft werden. Dazu kann das Tool zur Integritätsprüfung verwendet werden, das zum Funktionsumfang gehört. 
  • Zum Prüfumfang gehören Integrität und Änderungen am Dateisystem. 
  • Das Tool scannt nicht nach Schadsoftware oder Kompromittierungsindikatoren (IoCs).
• IT-Sicherheitsverantwortliche sollten Logs auf fehlgeschlagene Integritätsprüfungen in der Vergangenheit prüfen. Derartige Log-Einträge könnten von Angreifenden verursacht worden sein. Ein starker Kompromittierungsindikator liegt vor, wenn Logs der internen Integritätsprüfung folgende Einträge besitzen:
  • SYS32039 - Mit dem Internal Integrity Check Tool wurden neue Dateien gefunden.
  • SYS32040 - Mit dem Internal Integrity Check Tool wurden veränderte Dateien gefunden.
• Ein externes Tool zur Integritätsprüfung ist ebenfalls verfügbar, erfordert jedoch einen Neustart des Systems. Das BSI empfiehlt, dieses Tool zu verwenden.
• Der Netzwerkverkehr sollte auf Anomalien geprüft werden.