Inhaltsverzeichnis

Ivanti VPN Sicherheitslücke: Was Sie wissen müssen

Inhaltsverzeichnis

Chinesische staatlich finanzierte Hacker haben es auf kürzlich bekannt gewordene Schwachstellen in Ivanti VPN-Produkten, Ivanti Connect Secure (ehemals Pulse Secure) und Ivanti Policy Secure Gateways abgesehen. Diese Schwachstellen werden als CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 und CVE-2024-21893 gemeldet.

Wenn diese Schwachstellen zusammen verwendet werden, können sie eine unautorisierte Umgehung der Authentifizierung und die Ausführung von Remote-Befehlen ermöglichen. Ivanti hat Patches für diese Sicherheitslücken für die am häufigsten verwendeten Versionen seiner Produkte veröffentlicht, aber das Unternehmen hat noch nicht für alle anfälligen Versionen seiner Produkte Patches veröffentlicht. Dies führt zu einem erhöhten Risiko der Privilegienerweiterung und der serverseitigen Anfragefälschung für diejenigen, die noch nicht in der Lage sind, einen Patch anzuwenden.

 

Ivanti Sicherheitsmaßnahmen und Empfehlungen

Unit 42® rät zur sofortigen Anwendung von Patches für diese Schwachstellen, sobald diese verfügbar sind, und zum proaktiven Zurücksetzen des Systems vor dem Patching, um die Integrität der Umgebung sicherzustellen. Als Reaktion auf die neu entdeckten Schwachstellen schließen wir uns der CISA-Empfehlung an, die Netzwerkverbindung von kompromittierten Lösungen zu trennen, und betonen, wie wichtig es ist, verfügbare oder bevorstehende Patches sorgfältig anzuwenden.

In der neuesten Folge des Threat Vector-Podcasts gehen die Cybersecurity-Experten von Unit 42, Sam Rubin, VP und Global Head of Operations, und Ingrid Parker, Senior Manager der Intel Response Unit, auf die kritischen Schwachstellen ein, die in den Connect Secure- und Policy Security-Produkten von Ivanti gefunden wurden. Sie untersuchen die potenziellen Auswirkungen der Schwachstellen, die Dringlichkeit von Abhilfemaßnahmen und Strategien zur Verteidigung.

Vektor-Podcast
white triangle

Abonnieren und anhören über Ihren Lieblings-Podcast-Player

 

Unit 42 Fälle der Reaktion auf Zwischenfälle

Die Kampagnen zur Ausnutzung der Sicherheitslücken CVE-2023-46805 und CVE-2024-21887 von Ivanti erfolgten in drei verschiedenen Wellen.

Die erste Welle dauerte mindestens von der zweiten Dezemberwoche 2023 bis zum 10. Januar 2024, als Volexity seinen ersten Blogbeitrag zu diesem Thema veröffentlichte. Die Angriffe in dieser Kampagne waren zielgerichtet und beinhalteten mehrere benutzerdefinierte Web-Shells und laterale Bewegungen. Unit 42 reagierte auf Bedrohungsaktivitäten, die wahrscheinlich mit dieser Welle von Kampagnen zusammenhingen.

Ähnlich wie bei der Aktivität, die im Blogbeitrag von Volexity beschrieben wird, haben wir den Bedrohungsakteur bei den folgenden Aktivitäten beobachtet:

  • Archivierung von Dateien einschließlich NTDS.dit mit 7-Zip vor der Exfiltration
  • Erstellen eines Speicherabbilds des LSASS-Prozesses mit dem Windows Task Manager (Taskmgr.exe)
  • Seitliches Verschieben über das Remote-Desktop-Protokoll (RDP)
  • Löschen von Protokollen

Die zweite Welle begann nach dem ersten Blogbeitrag von Volexity am 10. Januar 2024. Diese Welle war gekennzeichnet durch eine Verlagerung von gezielten Angriffen hin zu einer massenhaften Ausnutzung durch zusätzliche Bedrohungsakteure.

Unit 42 reagierte auf Fälle von Bedrohungsaktivitäten, die wahrscheinlich mit dieser Welle von Kampagnen zusammenhingen. Die Bedrohungsaktivität war in all diesen Fällen gleich.

Der Bedrohungsakteur hat Konfigurationsdaten mit Schemata, Einstellungen, Namen und Anmeldeinformationen der verschiedenen Benutzer und Konten innerhalb des Netzwerks abgerufen, aber keine seitlichen Bewegungen wie bei den Vorfällen der ersten Welle durchgeführt.

Unit 42 geht davon aus, dass die Bedrohungsakteure, die hinter dieser Aktivität stecken, ihren Schwerpunkt auf eine breitere Ausnutzung gelegt haben könnten, um die Auswirkungen zu maximieren, bevor die Organisationen mit dem Patchen und der Anwendung von Richtlinien zur Schadensbegrenzung beginnen konnten.

Die dritte Welle begann bereits am 16. Januar 2024, als Proof-of-Concept (PoC)-Exploits öffentlich verfügbar wurden. Die Veröffentlichung dieser Exploits führt zu einer massenhaften Ausnutzung durch eine Reihe von Akteuren mit unterschiedlichen Motivationen und einem hohen Grad an Raffinesse, einschließlich krimineller Organisationen, die Cryptominer und verschiedene Fernüberwachungs- und -verwaltungssoftware (RMM) bereitstellen.

Unit 42 hat auf Bedrohungsaktivitäten reagiert, die wahrscheinlich mit dieser Welle in Zusammenhang stehen, und zwar von einem Bedrohungsakteur, der einen öffentlich zugänglichen PoC-Exploit verwendet. Wir unterstützen derzeit unsere Kunden bei der Untersuchung dieser Vorfälle.

Umfassende Ivanati-Verteidigungsstrategien

Die Entdeckung dieser Schwachstellen unterstreicht die Notwendigkeit von wachsamen Sicherheitsmaßnahmen und schnellen Reaktionsmöglichkeiten. Dies hat kritische Sicherheitsschwachstellen in den weit verbreiteten Technologien für virtuelle private Netzwerke (VPN) aufgezeigt, die von ausgeklügelten Bedrohungsakteuren ausgenutzt werden. Diese Schwachstellen ermöglichen unbefugten Zugriff und Kontrolle und stellen ein erhebliches Risiko für die Netzwerke von Unternehmen dar.

Die folgenden Strategien sind von entscheidender Bedeutung für die Aufrechterhaltung einer starken Sicherheitsposition gegenüber sich entwickelnden Cyberbedrohungen, um den Schutz sensibler Informationen und kritischer Infrastrukturen zu gewährleisten:

  • Inventarisieren Sie Ihr Vermögen: Katalogisieren Sie alle Netzwerkgeräte, Systeme und Software.
  • Wählen Sie die richtigen Werkzeuge: Nutzen Sie die Tools zum Scannen von Schwachstellen, die am besten zur Komplexität und zum Umfang Ihrer IT-Umgebung passen.
  • Scannen Sie nach Schwachstellen: Führen Sie regelmäßig Scans durch, um Sicherheitsschwachstellen in Ihren Systemen zu erkennen.
  • Analysieren Sie die Ergebnisse: Prüfen Sie die Scan-Ergebnisse sorgfältig, um die Schwachstellen nach ihrem Schweregrad und ihren möglichen Auswirkungen zu priorisieren.
  • Beheben Sie die Probleme und patchen Sie: Wenden Sie die notwendigen Patches oder Workarounds an, um die identifizierten Schwachstellen zu entschärfen.
  • Wiederholen und überprüfen: Überwachen und bewerten Sie Ihre Sicherheitslage, um sich an neue Bedrohungen anzupassen.

Informieren Sie sich auch über unseren erweiterten Ivanti Emerging Threat Report:

Unit 42 Bericht über aufkommende Bedrohungen

Unit 42 Bericht über aufkommende Bedrohungen: Mehrere Ivanti-Sicherheitslücken

Verabschiedung einer umfassenden Strategie für Cybersicherheit

Um Ihr Netzwerk vor potenziellen Cyberbedrohungen zu schützen, müssen Sie unbedingt wichtige Maßnahmen ergreifen. Einige Methoden zum Schutz Ihres Netzwerks umfassen das Verstecken von Anwendungen und VPNs vor der öffentlichen Internetpräsenz, um sie vor Angreifern zu schützen. Außerdem sollten Sie den gesamten ein- und ausgehenden Datenverkehr gründlich überprüfen, um Bedrohungen wie Malware und Zero-Day-Exploits zu neutralisieren.

Die Anwendung des Prinzips der geringsten Privilegien in Ihrem Netzwerk ist ein weiterer wichtiger Schritt. Dadurch wird sichergestellt, dass Benutzer nur auf Ressourcen zugreifen können, die sie für ihre Rolle benötigen. Sie sollten auch die Zugriffskontrollen verstärken, indem Sie eine robuste Multifaktor-Authentifizierung verwenden, um die Identität der Benutzer effektiv zu überprüfen.

Es empfiehlt sich auch, die Benutzer direkt mit den Anwendungen und nicht mit dem gesamten Netzwerk zu verbinden. Dadurch wird der potenzielle Schaden durch Sicherheitsvorfälle minimiert. Eine kontinuierliche Überwachung ist auch wichtig, um Bedrohungen durch kompromittierte Insider oder externe Akteure zu erkennen und zu entschärfen.

Zum Schutz sensibler Daten sollte eine sorgfältige Überwachung und Verschlüsselung sowohl bei der Übertragung als auch im Ruhezustand erfolgen. Der Einsatz von Täuschungstechnologien und proaktiver Bedrohungssuche kann helfen, Bedrohungen zu erkennen und zu neutralisieren, bevor sie Schaden anrichten können.

Die Förderung einer Kultur des Sicherheitsbewusstseins innerhalb Ihrer Organisation kann auch gegen gängige Vektoren wie Phishing schützen. Die regelmäßige Evaluierung Ihrer Sicherheitsmaßnahmen durch Bewertungen und Simulationen kann dazu beitragen, Schwachstellen zu erkennen und zu beseitigen.

Palo Alto Networks Zero-Trust-Ansatz

Als Antwort auf diese Bedrohungen betont Palo Alto Networks die Wichtigkeit einer Zero-Trust-Architektur, die einen sicheren, segmentierten Zugang zu Anwendungen bietet, ohne sie direkten Internet-Bedrohungen auszusetzen. Unsere Lösungen, einschließlich fortschrittlicher Bedrohungsprävention und Segmentierungsrichtlinien, wurden entwickelt, um die Angriffsfläche zu minimieren, unbefugten Zugriff zu verhindern und Bedrohungen in Echtzeit zu erkennen und darauf zu reagieren.

 

10 FAQ-Fragen und Antworten zur Ivanti-Schwachstelle für Sicherheitsexperten in Unternehmen

Die Ivanti-Schwachstelle bezieht sich auf fünf hochgradige oder kritische Sicherheitslücken (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893 und CVE-2024-22024), die Ivanti in seinen Produkten Connect Secure und Policy Secure offengelegt hat. Diese Schwachstellen reichen von Schwachstellen bei der Umgehung der Authentifizierung und Befehlsinjektion bis hin zu Schwachstellen bei der Privilegienerweiterung und der serverseitigen Anfragefälschung.
Diese Schwachstellen können unbefugten Zugriff auf Ivanti-Produkte ermöglichen, was zu unbefugter Befehlsausführung, Ausweitung der Rechte und Zugriff auf eingeschränkte Ressourcen führen kann. Diese Schwachstellen stellen ein erhebliches Risiko für Unternehmensnetzwerke dar und können zu Datenverletzungen oder Unterbrechungen von Netzwerkdiensten führen.
Wenn diese Schwachstellen ausgenutzt werden, können Angreifer auf eingeschränkte Ressourcen zugreifen, ihre Privilegien auf eine Administrator-Ebene erweitern und sogar beliebige Befehle auf der Appliance ausführen. Diese ausgenutzten Schwachstellen können zu Datenverletzungen, Unterbrechungen von Netzwerkdiensten und weiterer Infiltration des Netzwerks führen.
Ivanti hat ein External Integrity Checker-Tool zur Verfügung gestellt, das Sie auf Anzeichen dieser Sicherheitslücken in Ihren Ivanti-Produkten überprüfen können. Dieses Tool wurde mit zusätzlichen Funktionen aktualisiert, um diese Sicherheitslücken zu schließen.
Wenn Ihre Ivanti-Produkte betroffen sind, empfiehlt Ivanti, die bereitgestellten Patches anzuwenden, sobald sie verfügbar sind. Für Produkte, für die noch keine Patches verfügbar sind, empfiehlt Ivanti eine Umgehungslösung, bis die Patches veröffentlicht werden.
Wenn Sie vermuten, dass diese Schwachstellen ausgenutzt wurden, sollten Sie die betroffenen Ivanti-Produkte von Ihrem Netzwerk trennen, wie von der CISA empfohlen. Sie sollten auch einen Prozess zur Reaktion auf Vorfälle einleiten, nach Anzeichen für eine Kompromittierung suchen und in Erwägung ziehen, professionelle Unterstützung im Bereich der Cybersicherheit in Anspruch zu nehmen. Palo Alto Networks Unit 42 kann Ihnen helfen, rufen Sie uns an.
Regelmäßige Schwachstellen-Scans, rechtzeitige Patches und robuste Reaktionspläne auf Vorfälle sind der Schlüssel zum Schutz Ihrer Organisation. Die Einhaltung bewährter Sicherheitspraktiken wie Least-Privilege-Zugriff, Multi-Faktor-Authentifizierung und Netzwerksegmentierung ist ebenfalls unerlässlich.
Spezifische IOCs können variieren, einschließlich ungewöhnlichem Netzwerkverkehr, unerwartetem Systemverhalten und Anzeichen von unautorisiertem Zugriff oder Privilegieneskalation. Spezifischere IOCs können von Ivanti oder Ihrem Anbieter von Sicherheitslösungenbereitgestellt werden.
Zum Zeitpunkt des letzten Updates waren über 28.000 Instanzen von Ivanti Connect Secure und Policy Secure in 145 Ländern betroffen. Es wurden über 600 kompromittierte Fälle beobachtet. Diese Schwachstellen werden seit mindestens Anfang Dezember 2023 aktiv ausgenutzt.
Ja, Kunden von Palo Alto Networks können mit verschiedenen Produkten und Funktionen wie Cortex Xpanse, Next-Generation Firewall mit Advanced Threat Prevention, Advanced WildFire, Advanced URL Filtering und DNS Security sowie Cortex XDR und XSIAM Abhilfemaßnahmen für diese Sicherheitslücken implementieren.
Verwandter Inhalt
Verwaltung der Informationssicherheit
Ein konsistenter Schutz von Informationen im gesamten Unternehmen setzt voraus, dass Sie die richtigen Mitarbeiter haben, um das Informationssicherheitsprogramm mit der Geschäfts- ...
Verwenden Sie Datenrichtlinien, um nach Datenverlusten oder Malware zu suchen
Erkennen Sie Malware und verhindern Sie die versehentliche oder böswillige Offenlegung sensibler Daten mit vordefinierten Datenprofilen und Datenmustern.
5 Organisationen erreichen 360° Sichtbarkeit und Compliance
Erfahren Sie, wie Organisationen einen zentralen Einblick in Cloud-Umgebungen erhalten, um Schwachstellen zu beheben und Bedrohungen zu beseitigen.
Sichtbarkeit und Klassifizierung von Daten
Viele Organisationen haben keinen ausreichenden Überblick über kritische Datentypen wie personenbezogene Daten. Dies wird problematisch, wenn Sie sich Audits stellen und Daten prio...

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen