Ivanti warnt vor zwei neuen Schwachstellen in seinen Produkten Connect Secure und Policy Secure, von denen eine gezielt ausgenutzt wurde.
Die Liste der Schwachstellen lautet wie folgt:
CVE-2024-21888 (CVSS-Score: 8,8) – Eine Schwachstelle für Privilege Escalation in der Webkomponente von Ivanti Connect Secure (9.x, 22.x) und Ivanti Policy Secure (9.x, 22.x) ermöglicht es einem Benutzer, Privilegien auf die eines Administrators zu erheben.
CVE-2024-21893 (CVSS-Score: 8,2) – Eine Schwachstelle für serverseitige Request Forgery in der SAML-Komponente von Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) und Ivanti Neurons for ZTA ermöglicht es einem Angreifer, auf bestimmte eingeschränkte Ressourcen ohne Authentifizierung zuzugreifen.
Das in Utah ansässige Softwareunternehmen gab an, bisher keine Anzeichen dafür gefunden zu haben, dass Kunden von CVE-2024-21888 betroffen sind, räumte jedoch ein, dass „die Ausnutzung von CVE-2024-21893 gezielt zu sein scheint“ und dass es „von einer begrenzten Anzahl von betroffenen Kunden“ Kenntnis hat.
Es wurde weiterhin darauf hingewiesen, dass „wir erwarten, dass der Bedrohungsakteur sein Verhalten ändern wird und wir eine deutliche Zunahme der Ausnutzung erwarten, sobald diese Informationen öffentlich sind.“
Parallel zur öffentlichen Offenlegung der beiden neuen Schwachstellen hat Ivanti Fixes für die Connect Secure-Versionen 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 und 22.5R1.1 sowie für die ZTA-Version 22.6R1.3 veröffentlicht.
„Um auf Nummer sicher zu gehen, empfehlen wir Kunden als bewährte Vorgehensweise, ihr Gerät vor dem Aufspielen des Patches auf die Werkseinstellungen zurückzusetzen, um zu verhindern, dass der Bedrohungsakteur in Ihrer Umgebung eine Upgrade-Beständigkeit erreicht“, heißt es. „Kunden sollten damit rechnen, dass dieser Vorgang 3-4 Stunden dauert.“
Als vorübergehende Lösungen zur Behebung von CVE-2024-21888 und CVE-2024-21893 wird Benutzern empfohlen, die Datei „mitigation.release.20240126.5.xml“ zu importieren.
Die neueste Entwicklung erfolgt, während zwei andere Schwachstellen im selben Produkt – CVE-2023-46805 und CVE-2024-21887 – von mehreren Bedrohungsakteuren zur Bereitstellung von Hintertüren, Kryptowährungsminern und einem Rust-basierten Loader namens KrustyLoader ausgenutzt wurden.
Die US-Behörde für Cybersecurity und Infrastruktursicherheit (CISA) teilte in einer heute veröffentlichten neuen Mitteilung mit, dass Angreifer die beiden Schwachstellen nutzen, um Zugangsdaten zu erfassen und Web-Shells abzulegen, die eine weitere Kompromittierung von Unternehmensnetzwerken ermöglichen.
„Einige Bedrohungsakteure haben kürzlich Umgehungen der aktuellen Abhilfemaßnahmen und Erkennungsmethoden entwickelt und konnten Schwachstellen ausnutzen, sich seitlich bewegen und Privilegien ohne Erkennung eskalieren“, so die Behörde.