CISA ordnet unverzügliche Sicherungsmaßnahmen für Ivanti VPN an
Nach den massiven Angriffen auf Kunden, die das Ivanti Connect Secure VPN nutzen, hat das US-Amt für Cybersicherheit und Infrastruktursicherheit (CISA) alle zivilen Bundesbehörden angewiesen, umgehend gegen zwei Sicherheitslücken vorzugehen.
Der massive Angriff auf Ivanti, über den CRN vergangene Woche berichtete, ruft die US-amerikanische IT-Sicherheitsbehörde auf den Plan. Die Notfall-Direktive der CISA verlangt von den Behörden, "die von Ivanti veröffentlichten Abhilfemaßnahmen für die betroffenen Produkte sofort zu implementieren, um weitere Angriffe zu verhindern."
Diese Anweisung ist allerdings auch ein Signal an private Organisationen, da sie zeigt, wie ernst die Bedrohung ist, von der Tausende von Ivanti Connect Secure-Geräten betroffen sind. In ihrer Direktive vom letzten Freitag erklärte die CISA, sie habe "eine weit verbreitete und aktive Ausnutzung von Schwachstellen in Ivanti Connect Secure und Ivanti Policy Secure Lösungen beobachtet. Verschiedene Akteure hätten die beiden Zero Day-Schwachstellen für gezielte Angriffe auf Ivanti-Kunden genutzt. "Die erfolgreiche Ausnutzung der Schwachstellen der betroffenen Produkte ermöglicht es böswilligen Akteuren, sich lateral in den Systemen zu bewegen, Daten zu herauszufiltern und einen dauerhaften Systemzugang anzulegen. Das führt zu einer kompletten Kompromittierung der Ziel-Informationssysteme", so die Sicherheitsbehörde.
"Die CISA hat festgestellt, dass diese Voraussetzungen ein inakzeptables Risiko für die Bundesbehörden der zivilen Exekutive (Federal Civilian Executive Branch, FCEB) darstellen und Notfallmaßnahmen erfordern."
Massenhaftes Ausnutzung
Diese erste "Emergency Directive" des Jahres sprach die CISA nur einige Tag nach Bekanntwerden der massenhaften Angriffe auf Ivanti Secure aus. Diese hatten die Forscher von Volexity festgestellt. Die Opfer der Ivanti VPN-Angriffe sind "global verteilt und von ihrer Größe sehr unterschiedlich", schrieben die Forscher. Velocity hatte die Schwachstellen erstmals im Dezember entdeckt. Demnach sind kleine Unternehmen ebenso betroffen wie einige der weltgrößten Unternehmen, darunter auch mehrere Fortune-500-Unternehmen aus verschiedenen Branchen.
Ivanti hatte die Zero-Day-Schwachstellen am 10. Januar bekannt gegeben und Hinweise und Tools zur Entschärfung der Sicherheitslücken bereitgestellt. Das Unternehmen hat seinen Kunden außerdem dringend empfohlen, ein externes Integritätsprüfungs-Tool (ICT) einzusetzen, da einige Angreifer versucht hätten, das interne Integritätsprüfungs-Tool von Ivanti zu manipulieren.
Erste Patches werden ab Anfang dieser Woche verfügbar sein. Weitere wird Ivanti einem gestaffelten Zeitplan veröffentlichen, der bis Mitte Februar laufen soll.
Spionage bei Kunden weltweit
Die Angriffe stammen von einem Angreifer, den Volexity als UTA0178 identifiziert hat und von dem man annimmt, dass er im Auftrag der chinesischen Regierung arbeitet, sowie verschiedenen anderen "böswilligen Akteuren". Angreifer können die Schwachstellen gemeinsam nutzen, um bei Kunden von Connect Secure VPN Schaden anzurichten, berichtete Ivanti. Auf diese Weise sei keine Authentifizierung erforderlich, also können die Angreifer bösartige Anfragen eingeben und beliebige Befehle auf dem System ausführen.
Die Ausnutzung der Ivanti VPN-Schwachstellen durch einen "mutmaßlichen Spionage-Angriff" begannen schon Dezember berichteten letzte Woche auch die Forscher von Mandiant und bestätigten damit frühere Erkenntnisse von Volexity.
Die Schwachstelle zur Umgehung der Authentifizierung (CVE-2023-46805) bewerteten die Ermittler auf einer Schweregrad-Skala mit 8,2 von 10 Punkten. Die Schwachstelle zur Befehlsinjektion (CVE-2024-21887) hat einen Schweregrad von 9,1 Punkten. Die Sicherheitslücken betreffen alle unterstützten Versionen von Connect Secure sowie das Policy Secure-Gateway von Ivanti.
Das Problem ist unabhängig von der kritischen Schwachstelle in Ivanti Endpoint Manager Mobile, die CISA am vergangenen Donnerstag genannt hatte.