IT-Sicherheitsbehörde CISA warnt erneut wegen Ivanti-Sicherheitslücken
Die US-Cybersicherheitsbehörde fordert nachdrücklich dazu auf, Patches zu installieren, um eine kritische Sicherheitslücke in Ivanti Standalone Sentry zu schließen. Sonst drohen Angriffe mit Remotecode-Ausführung.
Die Empfehlung - die sich auch auf eine separate Schwachstelle in Ivanti Neurons for ITSM bezieht - kommt nur wenige Wochen nachdem die CISA (Cybersecurity and Infrastructure Security Agency) den Hackerangriff auf zwei ihrer eigenen Systeme bestätigte, für den die Angreifer Schwachstellen in Ivanti VPN ausnutzten. In ihrer vergangene Woche veröffentlichten Mitteilung warnte die CISA, dass "ein Cyber-Bedrohungsakteur diese Schwachstellen ausnutzen könnte, um die Kontrolle über ein betroffenes System zu übernehmen."
Die CISA empfiehlt Anwendern und Administratoren, "die folgenden Ivanti-Hinweise zu lesen und die erforderlichen Updates zu installieren", so die Behörde. Konkret geht es um die Ivanti-Hinweise zur Standalone-Sentry-Schwachstelle (CVE-2023-41724) und zur Ivanti Neurons for ITSM-Schwachstelle (CVE-2023-46808).
Standalone Sentry war früher unter dem Namen MobileIron Sentry bekannt. Seit 2020 gehört MobileIron zu Ivanti.
Über die RCE-Schwachstelle, die Standalone Sentry betrifft, "kann ein nicht authentifizierter Bedrohungsakteur beliebige Befehle auf dem zugrunde liegenden Betriebssystem der Appliance innerhalb desselben physischen oder logischen Netzwerks ausführen", schrieb Ivanti in seinem aktualisierten Advisory vom Donnerstag vergangener Woche. "Zum Zeitpunkt der Veröffentlichung sind uns keine Kunden bekannt, bei denen diese Sicherheitslücke ausgenutzt wurde", so das Unternehmen in seiner Mitteilung.
Die Schwachstelle, die mit 9,6 von 10 Punkten als "sehr kritisch" eingestuft ist, betrifft alle unterstützten Versionen von Standalone Sentry, so Ivanti. Laut eines Berichts von BleepingComputer hatten Forscher des NATO Cyber Security Centre die Sicherheitslücken zuerst entdeckt.
Ivantis eigene Offenlegung folgte auf die massenhafte Ausnutzung von drei Ivanti Connect Secure VPN-Schwachstellen, wegen derer CISA am 19. Januar ihre "Notfallrichtlinie" für 2024 verhängte. Am 1.Februar ordnete die CISA an, dass zivile Bundesbehörden ihre Ivanti Connect Secure VPNs innerhalb von 48 Stunden vorübergehend abschalten. Am 29. Februar mahnte die CISA öffentliche Organisationen dann erneut, "das erhebliche Risiko" zu bedenken, das von einer der weiteren Nutzung der weit verbreiteten Ivanti VPNs ausgehen könnte.