Die meisten Server der von der Zero-Day-Schwachstelle CVE-2023-35078 in den Versionen 11.10, 11.9.und 11.8. und älter betroffenen Ivanti Endpoint Manager Mobile-Server stehen in Deutschland. Das stellte die Cortex Xpanse-Datenanalyse für das Angriffsflächenmanagement unmittelbar nach Bekanntgabe der Schwachstelle fest. Diese erlaubt einen nicht authentifizierten API-Zugriff. Folge: Angreifer können ohne Zugangsdaten personenbezogene Daten extrahieren und administrative Aktionen durchführen, wie das Anlegen neuer Konten und das Vornehmen von Konfigurationsänderungen, so Unit 42.
"Angesichts der Anzahl der potenziell gefährdeten Server im Internet, auf denen diese Software läuft, ist es sehr wahrscheinlich, dass viele Institutionen oder Unternehmen in verschiedenen Ländern zum Angriffsziel werden könnten oder bereits geworden sind. Open-Source-Berichte deuten darauf hin, dass erste Angriffe höchstwahrscheinlich stattfanden, bevor Ivanti von der Sicherheitslücke wusste", so das Forscherteam weiter.
Weitere Sicherheitslücke in Ivanti EPMM entdeckt
Die kritische Sicherheitslücke CVE-2023-35078 war nicht die einzige. Es folgte die Meldung einer weiteren Sicherheitslücke mit einer hohen CVSS-Einstufung in Ivanti Endpoint Manager Mobile. Bei CVE-2023-35081 handele es sich um eine Remote-File-Write-Schwachstelle, bei der ein authentifizierter Administrator Dateien auf den kompromittierten Server schreiben muss, die zusätzliche Nutzdaten enthalten können, um weiteren Zugriff zu ermöglichen, so Unit 42.
Grundlegendes Problem, wenn Sicherheitsforscher Schwachstellen enddecken und öffentlich machen: Potenzielle Angreifer werden erst recht hellhörig, ihre Aufmerksamkeit auf zusätzliche Schwachstellen gelenkt. So wie jetzt im Fall von Ivanti EPMM.
Empfehlungen von Unit 42
Unit 42 empfiehlt den Nutzern der betroffenen Software ein Upgrade auf die neuesten Versionen, die Korrekturen für diese Sicherheitslücken enthalten. Es sei besonders wichtig, dass Administratoren ihre Netzwerktopologie überprüfen, um sicherzustellen, "dass alle öffentlich zugänglichen Ivanti EPMM-Dienste mit dem neuesten Patch aktualisiert sind". Ist eine Aktualisierung auf die korrigierten Versionen der Software nicht möglich, empfiehlt Unit 42 außerdem, Vorsichtsmaßnahmen zu ergreifen, um den Zugang zu den anfälligen Servern zu kontrollieren und den öffentlichen Zugang einzuschränken, bis sie gepatcht werden können.