Ivanti-Schwachstellen entschärfen: CISA gibt Notfallrichtlinie heraus
In letzter Zeit hat die Cybersicherheitslandschaft einen Anstieg der Bedrohungen erlebt, die auf die Lösungen Ivanti Connect Secure und Ivanti Policy Secure abzielen. Die Cybersecurity and Infrastructure Security Agency (CISA) hat eine rote Fahne gehisst und auf die weit verbreitete und aktive Ausnutzung von Schwachstellen in diesen Ivanti-Lösungen hingewiesen, die eine unmittelbare Gefahr für die zivilen Bundesbehörden darstellen.
Schwachstellen in Ivanti-Produkten
Die fraglichen Schwachstellen, nämlich CVE-2023-46805 und CVE-2024-21887, stellen eine ernsthafte Bedrohung für die Sicherheit von Informationssystemen dar. CVE-2023-46805 wurde in der Webkomponente von Ivanti Connect Secure (9.x, 22.x) und Ivanti Policy Secure festgestellt und ermöglicht es einem entfernten Angreifer, die Authentifizierungskontrollen zu umgehen, was zu einem nicht autorisierten Zugriff auf eingeschränkte Ressourcen führen kann.
Bei CVE-2024-21887 handelt es sich hingegen um eine Schwachstelle für die Befehlsinjektion, die in den Webkomponenten derselben Ivanti-Lösungen gefunden wurde. Diese über das Internet ausnutzbare Schwachstelle ermöglicht es einem authentifizierten Administrator, beliebige Befehle auf den betroffenen Produkten auszuführen und so ein Einfallstor für bösartige Aktivitäten zu schaffen.
Wenn diese Schwachstellen gemeinsam ausgenutzt werden, kann ein böswilliger Bedrohungsakteur beliebige Befehle auf einem anfälligen Produkt ausführen. Dies kann zu Seitwärtsbewegungen innerhalb des Systems, zur Datenexfiltration und zur Einrichtung eines dauerhaften Zugangs führen, was letztendlich zur vollständigen Kompromittierung der Zielinformationssysteme führt.
Entschärfung von Ivanti-Schwachstellen
Ivanti erkannte den Ernst der Lage und handelte umgehend, indem es am 10. Januar 2024 wichtige Informationen veröffentlichte. Das Unternehmen gab Einzelheiten zu den Schwachstellen bekannt und stellte vorübergehende Abhilfemaßnahmen in Form einer XML-Datei zur Verfügung. Diese Datei kann in die betroffenen Produkte importiert werden, um die notwendigen Konfigurationsänderungen vorzunehmen, bis ein permanentes Update zur Verfügung gestellt wird.
Unternehmen müssen proaktiv Maßnahmen ergreifen, um ihre Ivanti-Lösungen zu sichern. Neben der von Ivanti bereitgestellten vorübergehenden Lösung sollten die folgenden Maßnahmen in Betracht gezogen werden:
Regelmäßige Updates und Patch-Management
Stellen Sie sicher, dass Ihre Ivanti-Lösungen regelmäßig mit den neuesten Patches und Sicherheitsupdates aktualisiert werden, da rechtzeitige Updates eine entscheidende Rolle bei der Entschärfung potenzieller Schwachstellen spielen.
Segmentierung des Netzes
Implementieren Sie eine Netzwerksegmentierung, um die seitliche Bewegung von Angreifern innerhalb Ihres Systems einzuschränken. Dies trägt dazu bei, die Auswirkungen eines potenziellen Einbruchs einzudämmen und den unbefugten Zugriff auf wichtige Ressourcen zu verhindern.
Kontinuierliche Überwachung und Reaktion auf Zwischenfälle
Setzen Sie robuste Überwachungsinstrumente ein, um ungewöhnliche Aktivitäten sofort zu erkennen und darauf zu reagieren. Ein proaktiver Plan zur Reaktion auf Vorfälle gewährleistet eine schnelle und wirksame Reaktion auf Sicherheitsvorfälle.
Schlussfolgerung
Die aktive Ausnutzung von Schwachstellen in den Lösungen Ivanti Connect Secure und Ivanti Policy Secure unterstreicht die entscheidende Bedeutung der Cybersicherheit für Organisationen, insbesondere für die zivile Bundesverwaltung. Indem sie über die Art dieser Schwachstellen informiert bleiben und wirksame Strategien zur Schadensbegrenzung implementieren, können Organisationen ihre Verteidigung gegen potenzielle Bedrohungen verstärken und die Sicherheit ihrer Informationssysteme gewährleisten.
Zu den Quellen für diesen Artikel gehört ein Bericht der CISA.