Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat am Freitag eine Notfallanweisung herausgegeben, in der Bundesbehörden der Exekutive aufgefordert werden, Maßnahmen gegen zwei aktiv ausgenutzte Zero-Day-Schwachstellen in den Produkten Ivanti Connect Secure (ICS) und Ivanti Policy Secure (IPS) umzusetzen.
Die Entwicklung erfolgte, nachdem die Schwachstellen – eine Authentifizierungsumgehung (CVE-2023-46805) und ein Code-Injectionsfehler (CVE-2024-21887) – weit verbreitet und von mehreren Bedrohungsakteuren ausgenutzt wurden. Die Schwachstellen ermöglichen es einem Angreifer, bösartige Anfragen zu erstellen und willkürliche Befehle auf dem System auszuführen.
Das US-amerikanische Unternehmen gab in einer Mitteilung an, dass es seit dem 11. Januar 2024 einen „starken Anstieg der Aktivitäten von Bedrohungsakteuren“ beobachtet hat, nachdem die Schwachstellen öffentlich bekannt gegeben wurden.
„Die erfolgreiche Ausnutzung der Schwachstellen in diesen betroffenen Produkten ermöglicht es einem bösartigen Bedrohungsakteur, sich seitlich zu bewegen, Daten zu exfiltrieren und dauerhaften Systemzugriff herzustellen, was zu einer vollständigen Kompromittierung der Zielinformationssysteme führt“, sagte die Behörde.
Ivanti, das voraussichtlich nächste Woche ein Update zur Behebung der Schwachstellen veröffentlichen wird, hat vorübergehend eine Workaround-Lösung über eine XML-Datei zur Verfügung gestellt, die in betroffene Produkte importiert werden kann, um die erforderlichen Konfigurationsänderungen vorzunehmen.
CISA fordert Organisationen, die ICS betreiben, auf, die Maßnahmen umzusetzen und ein externes Integritätsüberprüfungstool auszuführen, um Anzeichen für Kompromittierungen zu identifizieren. Wenn solche Anzeichen vorhanden sind, sollten die Geräte vom Netzwerk getrennt und zurückgesetzt werden, gefolgt von der Importierung der XML-Datei.
Darüber hinaus wird den Bundesbehörden der Exekutive empfohlen, alle gespeicherten Zertifikate zu widerrufen und erneut auszustellen, das Administrator-Passwort zurückzusetzen, API-Schlüssel zu speichern und die Passwörter aller lokalen Benutzer auf dem Gateway zurückzusetzen.
Die Cybersecurity-Unternehmen Volexity und Mandiant haben beobachtet, dass die Schwachstellen dazu genutzt werden, Web-Shells und passive Hintergrundtüren für dauerhaften Zugriff auf kompromittierte Geräte bereitzustellen. Schätzungen zufolge wurden bisher weltweit rund 2.100 Geräte kompromittiert.
Die erste Angriffswelle, die im Dezember 2023 identifiziert wurde, wird einer chinesischen Staatsgruppe zugeschrieben und als UTA0178 verfolgt. Mandiant beobachtet die Aktivität unter dem Namen UNC5221, obwohl sie nicht mit einer bestimmten Gruppe oder einem bestimmten Land in Verbindung gebracht wurde.
Die Threat Intelligence-Firma GreyNoise gab ebenfalls an, dass die Schwachstellen ausgenutzt wurden, um dauerhafte Hintergrundtüren und XMRig-Kryptowährungsminer einzusetzen, was auf eine opportunistische Ausnutzung durch bösartige Akteure zum finanziellen Gewinn hinweist.