Die US-amerikanische Cybersicherheitsbehörde CISA hat die Bundesbehörden angewiesen, Ivanti VPN-Appliances dringend abzuschalten, da aufgrund mehrerer Softwarefehler das Risiko einer böswilligen Ausnutzung besteht.
In einem Update zu einem Notfallrichtlinie CISA wurde erstmals letzte Woche veröffentlicht und schreibt nun vor, dass alle zivilen Exekutivbehörden des Bundes – eine Liste, die Dazu gehören die Homeland Security und die Securities and Exchange Commission – Trennen Sie alle Ivanti VPN-Appliances aufgrund der „ernsthaften Bedrohung“, die von zahlreichen Zero-Day-Schwachstellen ausgeht, die derzeit von böswilligen Hackern ausgenutzt werden.
Obwohl Bundesbehörden in der Regel Wochen Zeit haben, um Schwachstellen zu beheben, hat die CISA die Abschaltung der Ivanti VPN-Appliances innerhalb von 48 Stunden angeordnet.
„Agenturen, die betroffene Produkte – Ivanti Connect Secure- oder Ivanti Policy Secure-Lösungen – verwenden, müssen sofort die folgenden Aufgaben ausführen: Trennen Sie so schnell wie möglich und spätestens um 23:59 Uhr am Freitag, den 2. Februar 2024, alle Instanzen von Ivanti Connect Secure und „Ivanti Policy Secure-Lösungsprodukte aus Agenturnetzwerken“, heißt es in der am Mittwoch aktualisierten Notfallrichtlinie.
Die Warnung von CISA kommt nur wenige Stunden, nachdem Ivanti mitgeteilt hat, dass es eine dritte Zero-Day-Schwachstelle aufgedeckt hat, die aktiv ausgenutzt wird.
Sicherheitsforscher sagen, dass staatlich unterstützte chinesische Hacker seit Dezember mindestens zwei der Ivanti Connect Secure-Schwachstellen – verfolgt als CVE-2023-46805 und CVE-2024-21887 – ausgenutzt haben. Ivanti sagte am Mittwoch, es habe zwei weitere Schwachstellen entdeckt – CVE-2024-21888 und CVE-2024-21893 – wobei letztere bereits bei „gezielten“ Angriffen genutzt wurde. CISA sagte zuvor, es habe „einige anfängliche Angriffe auf Bundesbehörden beobachtet“.
Steven Adair, Gründer des Cybersicherheitsunternehmens Volexity, sagte am Donnerstag gegenüber Tech, dass bisher mindestens 2.200 Ivanti-Geräte kompromittiert wurden. Dies ist ein Anstieg von 500 gegenüber der Zahl von 1.700, die das Unternehmen Anfang dieses Monats ermittelt hatte, obwohl Volexity anmerkt, dass „die Gesamtzahl wahrscheinlich viel höher ist“.
In der Aktualisierung ihrer Notfallrichtlinie hat die CISA den Behörden mitgeteilt, dass sie nach dem Trennen der anfälligen Ivanti-Produkte die Bedrohungssuche auf allen mit dem betroffenen Gerät verbundenen Systemen fortsetzen, die Authentifizierungs- oder Identitätsverwaltungsdienste überwachen müssen, die offengelegt werden könnten, und weiterhin die Berechtigungen prüfen müssen Zugriffskonten auf Ebene.
CISA hat auch Anweisungen zur Wiederherstellung des Online-Betriebs von Ivanti-Geräten bereitgestellt, den Bundesbehörden jedoch keine Frist dafür gesetzt.
„CISA hat den Bundesbehörden effektiv Anweisungen für die Bereitstellung einer völlig neuen und gepatchten Installation gegeben [Ivanti Connect Secure] „VPN-Geräte sind eine Voraussetzung, um sie wieder online zu bringen“, sagte Adair gegenüber Tech. „Wenn eine Organisation vollständig sicher sein möchte, dass ihr Gerät in einem bekanntermaßen guten und vertrauenswürdigen Zustand betrieben wird, ist dies wahrscheinlich die beste Vorgehensweise.“
Ivanti stellte diese Woche Patches für einige Softwareversionen zur Verfügung, die von den drei aktiv ausgenutzten Schwachstellen betroffen waren, nachdem CISA in einer Warnung gewarnt hatte beratend dass böswillige Angreifer die für die ersten beiden Schwachstellen veröffentlichten Abhilfemaßnahmen umgangen hatten. Ivanti forderte Kunden außerdem dringend auf, die Appliances vor dem Patchen auf die Werkseinstellungen zurückzusetzen, um zu verhindern, dass Hacker sich in ihrem Netzwerk festsetzen.