Update #5: Kritische Sicherheitslücken in Ivanti Connect Secure und Ivanti Policy Secure - aktiv ausgenützt - Patches verfügbar

11. Jänner 2024

Beschreibung

Sicherheitsforscher:innen haben in Produkten der Firma Ivanti zwei schwere Sicherheitslücken entdeckt, deren kombinierte Ausnutzung eine vollständige Kompromittierung des Systems über offen erreichbare Interfaces ermöglicht.

Die Schwachstellen werden bereits durch gezielt agierende Angreifer:innen ausgenutzt. Es ist davon auszugehen, dass zeitnah massenweise Ausnutzungsversuche erfolgen werden.

Update #1: 19. Jänner 2024:

Volexity, sowie weitere unabhängige Sicherheitsunternehmen, beobachten seit zumindest 15. Jänner die großflächige Ausnutzung von CVE-2023-46805 und CVE-2024-21887 durch unterschiedliche Akteure. Wenn die zur Verfügung stehende Mitigation auf Ihrer Ivanti Connect Secure-Instanz noch nicht eingespielt wurde, ist potenziell von einer bereits erfolgten Kompromittierung auszugehen.

Update #3: 24. Jänner 2024:

Mandiant und Volexity berichten davon, Exploits gegen diese Sicherheitslücken bereits Anfang Dezember 2023 beobachtet zu haben. Es empfiehlt sich daher, gegebenenfalls den Zeitraum etwaiger Untersuchungen auf stattgefundene Angriffsversuche zumindest bis inklusive Dezember 2023 auszudehnen.

CVE-Nummer(n): CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893

CVSS Base Score: 9.1

Auswirkungen

Die Ausnutzung der Sicherheitslücken ermöglicht Angreifer:innen die vollständige Übernahme von verwundbaren Systemen, sowie den Zugriff auf alle darauf gespeicherten Daten.

Betroffene Systeme

Betroffen sind alle aktuell vom Hersteller unterstützten Versionen von Ivanti Connect Secure (vormals Pulse Connect Secure) und Ivanti Policy Secure. Konkret handelt es sich dabei um folgende Versionsreihen:

  • 9.x
  • 22.x

Der Hersteller macht keine Angaben zu Versionen, die nicht mehr unterstützt werden. Es ist aber nicht auszuschließen, dass auch diese Versionen betroffen sind.

Abhilfe

Update #4: 31. Jänner 2024:

Ivanti stellt inzwischen für Teile der Produktreihe Patches über ihr Kundenportal (Login benötigt) für Ivanti Connect Secure (Versionen 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 und 22.5R1.1) und ZTA version 22.6R1.3. zur Verfügung.
Es wird empfohlen die Patches umgehend einzuspielen.

Eine Mitigation für eine weitere neue Schwachstelle (CVE-Nummer unbekannt), die von den Patches ebenso abgedeckt wird, kann vom Ivanti-Portal (Login benötigt) bezogen werden.

Update #5: 31. Jänner 2024:

Ivanti hat ihr Advisory erneut verändert. Es werden nun zwei neue CVE-Nummern (CVE-2024-21888, CVE-2024-21893) aufgeführt und auf Mitigationsmaßnahmen verwiesen.
Die verfügbaren Patches sollen diese zwei neuen Schwachstellen ebenso schließen.
Ivanti gibt den Hinweis: "Out of an abundance of caution, we are recommending as a best practice that customers factory reset their appliance before applying the patch to prevent the threat actor from gaining upgrade persistence in your environment."
CISA weist darauf hin, dass es Fälle gibt, in denen das externe Integritätswerkzeug eine erfolgte, aber zum Teil nicht mehr vorhandene Kompromittierung nicht feststellen konnte, weil die Angreifer ihre Spuren erfolgreich verwischt haben.

Zur Zeit stehen noch keine Aktualisierungen zur Verfügung, die das Problem beheben. Laut Aussage des Herstellers sollen die ersten Updates in der Woche des 22.01.2024 zur Verfügung stehen, mit einer finalen Version soll in der Woche des 19.02.2024 zu rechnen sein.

In der Zwischenzeit hat Ivanti einen Workaround bereitgestellt, welcher die Schwachstellen mitigieren soll. Das Unternehmen empfiehlt allen Kund:innen diese schnellstmöglich zu implementieren.

Konkret handelt es sich hierbei um eine XML-Datei, welche Kund:innen von der Webseite des Herstellers beziehen können. Diese soll auf den betroffenen Systemen, beziehungsweise einem einzelnen System eines betroffenen Clusters eingespielt werden.

Details zu dem Workaround, etwaigen Einschränkungen sowie potentiellen Beeinträchtigungen des laufenden Betriebs finden sich in einem durch Ivanti veröffentlichten Artikel.

Die Anwendung des Workarounds hat jedoch keinerlei Einfluss auf eine möglicherweise bereits erfolgte Ausnutzung der Schwachstellen. Wir empfehlen daher, potentiell betroffene Systeme einer forensischen Untersuchung zu unterziehen.

Das Sicherheitsunternehmen Volexity hat einige Indicators of Compromise veröffentlicht, welche bei der bisher einzigen öffentlich bekannten Ausnutzung beobachtet wurden. Diese können als erster Anhaltspunkt dienen.

Update #1: 19. Jänner 2024:

Ivanti empfiehlt, neben dem internen Integrity Checker Tool (ICT), auch das externe ICT zu nutzen, da das interne ICT unter Umständen durch Angreifer:innen manipuliert worden sein könnte. Das externe ICT kann über das Downloadportal von Ivanti durch Kunden bezogen werden. Weiterführende Informationen finden Sie im Knowledge Base Artikel KB44755.

Update #2: 24. Jänner 2024:

Ivanti warnt davor automatisierte Konfigurationen auf die Geräte mittels Pulse One or nSA zu pushen, da dadurch die Funktionalität der Mitigation negativ beeinträchtigt wird.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Änderungshistorie

11. Jänner 2024: Initiale Fassung

19. Jänner 2024: Ergänzung großflächige Ausnutzung, Korrektur & Ergänzung Integrity Checker Tool

24. Jänner 2024: Ergänzung über negative Beeinflussung der Mitigation bei Konfigurations-Push

24. Jänner 2024: Ergänzung über den Zeitraum bekannter Angriffe

31. Jänner 2024: Ergänzung um Verfügbarkeit von Patches und Mitigation einer neuen Schwachstelle

31. Jänner 2024: Ergänzung um zwei CVE-Nummern, Hinweis auf Factory Reset und potentielle Dysfunktionalität externes Integritäts-Tool


Informationsquelle(n):

CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways (Englisch)
https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways (Englisch)
https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

Active Exploitation of Two Zero-Day Vulnerabilities in Ivanti Connect Secure VPN (Englisch)
https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/

CSIRTs Network - Exploitation of Ivanti Connect Secure and Ivanti Policy Secure Gateway Zero-Days (Englisch)
https://github.com/enisaeu/CNW/blob/main/advisories/2024/CVE-2023-46805_CVE-2024-21887_Ivanti-Secure-Gateways.md

Ivanti Connect Secure VPN Exploitation Goes Global
https://www.volexity.com/blog/2024/01/15/ivanti-connect-secure-vpn-exploitation-goes-global/

KB44755 - Pulse Connect Secure (PCS) Integrity Assurance
https://forums.ivanti.com/s/article/KB44755

Cutting Edge: Suspected APT Targets Ivanti Connect Secure VPN in New Zero-Day Exploitation
https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day