Ivanti VPN-Schwachstellen werden massenhaft ausgenutzt

Mehr als 1.700 Ivanti Connect Secure VPN-Geräte sind gehackt, analysierten IT-Security-Experten. Patches gibt es aktuell noch keine. Die Hacker arbeiten offenbar im nationalstaatlichen Auftrag.

Volexity-Forscher, die zuerst die Schwachstellen in den weit verbreiteten Ivanti VPN-Geräten entdeckten, sagen jetzt, dass diese Schwachstellen von mehreren Bedrohungsakteuren ausgenutzt werden. In seinem eigenen Update sagte Ivanti, dass deren Erkenntnisse über Angriffe auf Connect Secure VPN-Kunden mit denen der Forscher von Volexity übereinstimmen.

Die Zero-Day-Schwachstellen wurden von Ivanti am 10. Januar bekannt gegeben. Es sind aktuell keine Patches verfügbar. Ivanti hat Abhilfemaßnahmen für die Schwachstellen bereitgestellt. "Wir raten allen Kunden dringend, die Abhilfemaßnahmen sofort anzuwenden", so Ivanti in einer Erklärung, die CRN am Dienstag vorlag.

Laut den Forschern von Volexity, die die Schwachstellen im Dezember aufgedeckt hatten, können das Leck dazu genutzt werden, Code auf den betroffenen Connect Secure VPN-Geräten unautorisiert aus der Ferne auszuführen. In einem neuen Beitrag vom Montag erklärte das Forschungsteam von Volexity, dass es Beweise gefunden habe, die darauf hindeuten, dass bisher mehr als 1.700 Ivanti Connect Secure VPN-Geräte kompromittiert worden seien.

Die "Beweise für eine massenhafte Ausbeutung" zeigen, dass die Opfer "global verteilt sind und sich in ihrer Größe stark unterscheiden", schreiben die Forscher. Sie reichen "von kleinen Unternehmen bis hin zu einigen der größten Organisationen der Welt, einschließlich mehrerer Fortune-500-Unternehmen in verschiedenen Branchen", so das Forschungsteam von Volexity in seinem Beitrag.

Das ist ein deutlicher Anstieg im Vergleich zu den letzten Ergebnissen von Ivanti, die Ende letzter Woche bekannt gegeben wurden und von weniger als 20 betroffenen Kunden sprachen.

Forscher: Chinesische Hacker offenbar im Auftrag der Regierung am Werk

Die Angriffe kommen von einem nationalstaatlichen Bedrohungsakteur, den Volexity als UTA0178 identifiziert hat und von dem angenommen wird, dass er im Auftrag der chinesischen Regierung arbeite, sowie von anderen Bedrohungsakteuren, so die Forscher. "Weitere Angreifer jenseits von UTA0178 scheinen Zugang zu dem Exploit zu haben", schreiben die Volexity-Forscher in ihrem Beitrag.

In der jüngsten Mitteilung von Ivanti heißt es, dass das Unternehmen "weitere Kunden bestätigt hat, bei denen die Sicherheitslücke ausgenutzt wurde", nachdem es in der vergangenen Woche einen ersten Hinweis gegeben hatte.

"Basierend auf unserer laufenden Zusammenarbeit glauben wir, dass dies mit den kürzlich veröffentlichten Beobachtungen von Veloxity übereinstimmt", schrieb Ivanti in dem Beitrag und verlinkte auf den Veloxity-Post vom Montag.

Ivanti, ein Anbieter von IT- und Sicherheitssoftware, erwarb die Technologie hinter seinem Connect Secure VPN mit der Übernahme von Pulse Secure im Jahr 2020.

Starker Anstieg der Cyberbedrohung

Ivanti sagte in einer Erklärung am Dienstag, dass seit der ersten Meldung "wir einen starken Anstieg der Aktivitäten von Bedrohungsakteuren und Scans von Sicherheitsforschern gesehen haben". Man sei "zuversichtlich, dass die Entschärfung den Zugang zu verwundbaren Endpunkten blockiert und dass sowohl das interne als auch das externe Integritätsprüfungs-Tool fehlerhafte Dateien identifizieren wird", so das Unternehmen in der Erklärung, die CRN vorliegt.

Patches erst kommende Woche verfügbar

Laut Ivanti werden die ersten Patches erst in der Woche vom 22. Januar verfügbar sein. Die Patches werden nach einem gestaffelten Zeitplan veröffentlicht, der bis Mitte Februar läuft, sagte das Unternehmen.

Die Schwachstelle zur Umgehung der Authentifizierung (CVE-2023-46805) wurde mit einem Schweregrad von 8,2 von 10 Punkten bewertet, während die Schwachstelle zur Befehlsinjektion (CVE-2024-21887) mit einem Schweregrad von 9,1 von 10 Punkten gesehen wird.

Die Schwachstellen können von Bedrohungsakteuren gemeinsam genutzt werden, um Kunden von Connect Secure VPN anzugreifen, so Ivanti. Wenn die Schwachstellen auf diese Weise ausgenutzt werden, ist keine Authentifizierung erforderlich und ein Angreifer könne bösartige Anfragen erstellen und beliebige Befehle auf dem System ausführen, so das Unternehmen.

Die Schwachstellen betreffen alle unterstützten Versionen von Connect Secure, so Ivanti. Die Schwachstellen betreffen auch das Policy Secure-Gateway von Ivanti, so das Unternehmen.

Forscher des zu Google Cloud gehörenden Unternehmens Mandiant berichteten letzte Woche, dass die Ausnutzung der Ivanti VPN-Schwachstellen im Dezember begann und bestätigten damit frühere Erkenntnisse der Volexity-Forscher über den Zeitpunkt der Angriffe.

Mandiant-Forscher haben "eine Zero-Day-Ausnutzung dieser Schwachstellen in freier Wildbahn identifiziert, die bereits im Dezember 2023 durch einen mutmaßlichen Spionage-Bedrohungsakteur begann", schreiben sie.