Markus Feilner

Ivanti Connect Secure VPN: Greenbone schützt vor Zero Day

Eine Reihe von Schwachstellen im Connect Secure VPN von Ivanti wird von Angreifern aktiv ausgenutzt. Sowohl das deutsche BSI als auch die Cybersecurity & Infrastructure Security Agency (CISA) der US-Regierung haben eine Warnung herausgegeben. Die CISA hat sogar eine Notfallanweisung hierzu veröffentlicht, die alle Bundesbehörden der zivilen Exekutive (FCEB) auffordert, sofort Patches zu installieren.

Tausende von öffentlich zugänglichen Ivanti-Systemen weltweit sind gefährdet, viele davon in Deutschland. Die Schwachstellen werden aktiv ausgenutzt. Da die Geräte von Ivanti schon vor mehreren Jahren in die Schwachstellentests von Greenbone im Enterprise Feed aufgenommen wurden, konnten wir unsere Kunden bereits am 10. Januar warnen und haben kontinuierlich Tests für die neuesten Schwachstellen erstellt. Dennoch müssen Ivanti-Kunden wachsam sein und Maßnahmen ergreifen – die Patches von Ivanti erfordern ein Zurücksetzen der Geräte auf den Auslieferungszustand.

Remote Code Execution und Authentification Bypass

Im Dezember hatte der amerikanische Sicherheitsexperte Volexity zwei schwerwiegende Sicherheitslücken (CVE-2023-46805 und CVE-2024-21887, beide veröffentlicht am 12. Januar 2024) in Geräten mit Ivanti Connect Secure VPN gefunden. Zu den betroffenen Produkten gehören Ivanti Connect Secure (früher Ivanti Pulse Secure), Ivanti Policy Secure und Ivanti Neurons für Zero Trust Access (ZTA).

Die Schwachstellen ermöglichen es Angreifern, Authentifizierungsmechanismen zu umgehen, eigenen Code unbefugt auszuführen und die Kontrolle über Systeme zu übernehmen, heißt es in einer offiziellen Stellungnahme von Ivanti. Der Hersteller rät seinen Kunden dringend, die Workarounds zu implementieren und aktualisiert die Kommunikation laufend in einem Artikel im Forum.

Vor wenigen Tagen wurden nun Patches ausgeliefert, die auch Korrekturen für drei weitere schwerwiegende Sicherheitslücken enthielten, vor denen Ivanti Ende Januar und Anfang Februar warnen musste (CVE-2024-21893, CVE-2024-21888 und CVE-2024-22024). Diese drei Sicherheitsprobleme sind mit einem hohen Risiko behaftet und umfassen serverseitige Request Forgery, Privilege Escalation und eine XXE-Schwachstelle (XML External Entity).

Nach Angaben des Herstellers wurden am 31. Januar Sicherheitspatches für alle Schwachstellen bereitgestellt. Nutzer, die den Februar-Patch angewendet und einen Reset auf die Werkseinstellungen durchgeführt haben, sollten jetzt keinen weiteren benötigen.

Greenbone-Kunden wurden gewarnt, aber Administratoren müssen aktiv werden

Aufgrund der weiten Verbreitung von Ivanti-Geräten in Deutschland bietet Greenbone bereits seit mehreren Jahren Tests für Ivanti Connect Secure an. Während andere verfügbare Tests nur die Versionsnummern der verwendeten Software prüfen, nutzen die Schwachstellenscans von Greenbone erweiterte Funktionen und erreichen so eine deutlich höhere Genauigkeit.

Doch auch wenn unsere Produkte Greenbone-Kunden schneller und genauer vor potenziellen Schwachstellen in Avanti-Geräten warnen, müssen die Anwender weiterhin alle vom Hersteller empfohlenen Maßnahmen ergreifen. So ist es beispielsweise möglich, dass Angreifer eine Schwachstelle bereits vor ihrer Veröffentlichung ausgenutzt haben. Daher müssen alle Kunden den von Ivanti bereitgestellten Integrity Checker verwenden, um die Integrität ihrer Installation sicherzustellen.

Die fünf Schwachstellen in Ivanti VPN Gateway Appliances laut NIST:

  • CVE-2023-46805 (CVSS 8.2 Hoch): Die Schwachstelle bei der Authentifizierung [CWE-287] in der Webkomponente von Ivanti ICS 9.x, 22.x und Ivanti Policy Secure ermöglicht einem Angreifer den Zugriff auf eingeschränkte Ressourcen unter Umgehung von Kontrollinstanzen.
  • CVE-2024-21887 (CVSS 9.1 Hoch): Die Schwachstelle erlaubt das Einschleusen von Befehlen [CWE-77] in die Webkomponenten von Ivanti Connect Secure (9.x, 22.x) und Ivanti Policy Secure (9.x, 22.x) und ermöglicht es Administratoren, speziell gestaltete Anfragen zu senden und beliebige Befehle auf der Appliance auszuführen.
  • CVE-2024-21893 (CVSS 8.2 Hoch): Auf Serverseite erlaubt es die Schwachstelle, Anforderungen zu fälschen [CWE-918]. In der SAML-Komponente von Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) und Ivanti Neurons for ZTA ermöglicht sie es einem Angreifer, Zugriff auf bestimmte eingeschränkte Ressourcen ohne Authentifizierung zu erhalten.
  • CVE-2024-21888 (CVSS 8.8 Hoch): Die Schwachstelle in der Webkomponente von Ivanti Connect Secure (9.x, 22.x) und Ivanti Policy Secure (9.x, 22.x) ermöglicht einen ausgeweiteten Zugriff [CWE-265]. Mit ihrer Hilfe kann ein Benutzer seine Rechte auf die eines Administrators ausdehnen.
  • CVE-2024-22024 (CVSS 8.3 High): Die XML External Entity oder XXE-Schwachstelle [CWE-643] in den SAML-Komponenten von Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) und ZTA-Gateways erlaubt einem Angreifer Zugriff auf bestimmte eingeschränkte Ressourcen ohne Authentifizierung.

Sofortmaßnahmen

Die Patches wurden erstmals am 22. Januar veröffentlicht. Bis die Benutzer die offiziellen Patches von Ivanti herunterladen und installieren können, sollten sie folgende Schritte befolgen:

  • Download: Aktuelles Mitigation Release aus dem offiziellen Mitigation Advisory von Ivanti
  • Befolgen Sie die Anweisungen, um einen korrekten Import sicherzustellen, und setzen Sie das Gerät auf die Werkseinstellungen zurück, wenn Sie dazu aufgefordert werden.
  • Laden Sie das externe Integritätsprüfungs-Tool von Ivanti herunter und führen Sie es aus.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von