Konfigurationsübertragung kann Behelfslösung zum Schutz von Ivanti ICS aufheben

Derzeit haben es Angreifer auf das VPN Gateway Secure Connect und die Netzwerkzugangskontrolle Policy Secure von Ivanti abgesehen. Sicherheitspatches sind noch nicht verfügbar. Bislang schützt ein Workaround Appliances. Doch der Schutz funktioniert unter bestimmten Bedingungen nicht.

Das Problem

Wie Ivanti in einer aktualisierten Warnmeldung ausführt, dürfen Admins nach dem Import der Übergangslösung in Form der Datei mitigation.release.20240107.1.xml keine Konfigurationen mehr an Appliances übertragen. Das Problem ist, dass die Konfigurationsübertragung einen Web-Service stoppt, der für den Schutz durch den Workaround elementar ist. Das Importieren von Konfigurationen macht Geräte also wieder verwundbar. Das soll auch das Übertragen von Konfigurationen über nSA oder Pulse One betreffen.

Ivanti empfiehlt, bis zum Erscheinen der Patches keine Konfigurationen zu übertragen, damit der Schutz vor den aktuellen Angriffen gegeben ist. Erste Updates sind für diese Woche geplant. Weitere sollen sukzessive bis Ende Februar folgen.

Die Sicherheitslücken

Angreifer kombinieren die beiden Schwachstellen (CVE-2024-21887 "kritisch", CVE-2023-46805 "hoch"), um zuerst die Authentifizierung zu umgehen und im Anschluss eigene Befehle auszuführen. Danach kompromittieren sie ganze Netzwerke und breiten sich auf weitere Geräte aus und installieren Hintertüren. Die Attacken sollen seit Dezember 2023 laufen.

In einem Supportbeitrag führt Ivanti wichtige Hinweise auf, wie Admins sich verhalten sollten, um ihre Netzwerke zu schützen. Sicherheitsforscher von Shadowserver zeigen auf, dass weltweit mehr als 22.000 Instanzen öffentlich über das Internet erreichbar sind. Über 1200 Instanzen sind in Deutschland zu finden. Erste Meldungen zu den Attacken machten Anfang Januar die Runde.

(des)