Neue öffentliche Daten zeigen, dass Hacker damit begonnen haben, eine dritte Schwachstelle in der weit verbreiteten Unternehmens-VPN-Appliance von Ivanti massenhaft auszunutzen.
Letzte Woche gab Ivanti bekannt, dass das Unternehmen zwei neue Sicherheitslücken entdeckt habe – CVE-2024-21888 und CVE-2024-21893 –, die Connect Secure betreffen, seine Fernzugriffs-VPN-Lösung, die von Tausenden von Unternehmen und großen Organisationen weltweit verwendet wird. Laut seiner Website hat Ivanti mehr als 40.000 Kunden, darunter Universitäten, Gesundheitsorganisationen und Banken, deren Technologie es ihren Mitarbeitern ermöglicht, sich von außerhalb des Büros anzumelden.
Die Offenlegung erfolgte nicht lange, nachdem Ivanti zwei frühere Fehler in Connect Secure bestätigt hatte, die als CVE-2023-46805 und CVE-2024-21887 identifiziert wurden und die laut Sicherheitsforschern von China unterstützte Hacker seit Dezember ausgenutzt hatten, um in Kundennetzwerke einzudringen und Informationen zu stehlen .
Nun zeigen Daten, dass einer der neu entdeckten Fehler – CVE-2024-21893, ein serverseitiger Request-Forgery-Fehler – massenhaft ausgenutzt wird.
Obwohl Ivanti die Schwachstellen inzwischen behoben hat, erwarten Sicherheitsforscher, dass die Auswirkungen auf Unternehmen größer werden, da immer mehr Hackergruppen die Schwachstelle ausnutzen. Steven Adair, Gründer des Cybersicherheitsunternehmens Volexity, einem Sicherheitsunternehmen, das die Ausnutzung der Ivanti-Schwachstellen verfolgt, warnte, dass der Proof-of-Concept-Exploit-Code jetzt öffentlich sei und „alle ungepatchten Geräte, auf die über das Internet zugegriffen werden kann, wahrscheinlich mehrfach kompromittiert wurden.“ .“
Piotr Kijewski, Geschäftsführer der Shadowserver Foundation, einer gemeinnützigen Organisation, die das Internet auf Missbrauch scannt und überwacht, sagte am Donnerstag gegenüber Tech, dass die Organisation mehr als 630 eindeutige IPs beobachtet habe, die versuchten, die serverseitige Schwachstelle auszunutzen, die Angreifern Zugang verschafft auf Daten auf anfälligen Geräten.
Das ist ein starker Anstieg im Vergleich zur letzten Woche, als Shadowserver sagte Es wurden 170 eindeutige IPs beobachtet versucht, die Sicherheitslücke auszunutzen.
Ein Analyse des neuen serverseitigen Fehlers zeigt, dass der Fehler ausgenutzt werden kann, um Ivantis ursprüngliche Schadensbegrenzung für die anfängliche Exploit-Kette mit den ersten beiden Schwachstellen zu umgehen, wodurch diese Schadensbegrenzungen vor dem Patch effektiv hinfällig werden.
Kijewski fügte hinzu, dass Shadowserver derzeit rund 20.800 Ivanti Connect Secure-Geräte beobachtet, die dem Internet ausgesetzt sind, verglichen mit 22.500 in der letzten Woche. Er wies jedoch darauf hin, dass nicht bekannt sei, wie viele dieser Ivanti-Geräte anfällig für Ausnutzung seien.
Es ist nicht klar, wer hinter der Massenausnutzung steckt, aber Sicherheitsforscher führten die Ausnutzung der ersten beiden Connect Secure-Fehler auf eine von der chinesischen Regierung unterstützte Hackergruppe zurück, die wahrscheinlich durch Spionage motiviert war.
Ivanti hatte zuvor erklärt, man sei sich der „gezielten“ Ausnutzung des serverseitigen Fehlers bewusst, die auf eine „begrenzte Anzahl von Kunden“ abzielt. Trotz wiederholter Anfragen von Tech in dieser Woche äußerte sich Ivanti nicht zu Berichten, dass der Fehler massenhaft ausgenutzt wird, bestritt jedoch nicht die Ergebnisse von Shadowserver.
Ivanti begann mit der Veröffentlichung von Patches Kunden über alle Schwachstellen informiert, zusammen mit einer zweiten Reihe von Abhilfemaßnahmen Anfang dieses Monats. Allerdings stellt Ivanti in seiner zuletzt am 2. Februar aktualisierten Sicherheitswarnung fest, dass das Unternehmen „Patches für die höchste Anzahl an Installationen zuerst veröffentlicht und dann in absteigender Reihenfolge fortfährt“.
Es ist nicht bekannt, wann Ivanti die Patches allen potenziell gefährdeten Kunden zur Verfügung stellen wird.
Wenige Tage nachdem die US-amerikanische Cybersicherheitsbehörde CISA die Bundesbehörden angewiesen hatte, alle Ivanti VPN-Appliances dringend vom Netz zu nehmen, gab es Berichte über die massive Ausnutzung einer weiteren Ivanti-Schwachstelle. In der Warnung der Behörde gab die CISA den Behörden nur zwei Tage Zeit, um die Geräte abzuschalten, und verwies auf die „ernsthafte Bedrohung“, die von den Schwachstellen ausgeht, die derzeit aktiv angegriffen werden.