Ivanti hat Updates zum Schließen von Sicherheitslücken veröffentlicht, die bereits angegriffen werden. Zwei weitere Lecks sind dabei aufgetaucht.
In der VPN-Software von Ivanti klaffen Sicherheitslücken, die bereits massiv im Netz von Cyberkriminellen angegriffen werden. Mit Verspätung hat der Hersteller jetzt Aktualisierungen veröffentlicht, die die Schwachstellen ausbessern. Die Verzögerung rührt daher, dass noch zwei weitere Sicherheitslecks entdeckt und gleich mit abgedichtet wurden. Auch eine der neuen Lücken wird bereits in freier Wildbahn attackiert.
Die neuen Lücken hat Ivanti in einer eigenen Sicherheitsmitteilung erläutert. Eine erlaubt die Ausweitung der Rechte auf Administrator-Ebene in Ivanti Connect Secure und Policy Secure (CVE-2024-21888, CVSS 8.8, Risiko “hoch“). Bei der zweiten neuen Schwachstelle handelt es sich um eine Server-Side-Request-Forgery (SSRF) in der SAML-Verarbeitungskomponente von Connect Secure, Policy Secure sowie Neurons for ZTA. Dadurch können Angreifer ohne vorherige Authentifizierung unbefugt auf beschränkte Ressourcen zugreifen (CVE-2024-21893, CVSS 8.2, hoch).
Ivanti: Neue Lücke wird bereits ausgenutzt
Die SSRF-Lücke wird Ivanti zufolge bereits im Netz missbraucht. Die US-amerikanische Cybersicherheitsbehörde CISA hat die Schwachstelle folgerichtig bereits in den Known-Exploited-Vulnerabilites-Katalog aufgenommen. Die für den 22. Januar angekündigten Aktualisierungen hat Ivanti daher erst am Mittwoch dieser Woche veröffentlicht. Der weitere Update-Plan verzögert sich entsprechend um diesen Zeitraum.
Die neuen Software-Versionen Ivanti Connect Secure 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 und 22.5R1.1 sowie ZTA 22.6R1.3 sollen die Schwachstellen abdichten. Wer die Updates noch nicht installieren kann oder für wen noch keine Updates verfügbar sind, kann die Gegenmaßnahmen umsetzen, die Ivanti in der ersten, inzwischen aktualisierten Sicherheitsmitteilung vorschlägt.
Die ersten Schwachstellen in den Ivanti-VPN-Produkten wurden Anfang Januarbekannt. Sie wurden dort bereits von Cyberkriminellen angegriffen. Nur eine Woche später fanden IT-Sicherheitsforscher tausende kompromittierte Geräte im Internet. Deutschland landete nach den USA auf dem zweiten Platz der Liste mit den meisten unterwanderten Systemen.