Ivanti stopft ausgenutzte SicherheitslĂĽcken und mehr
Ivanti aktualisiert mehrere Software-Pakete. Darunter CSA, die bereits attackiert wird, oder Connect Secure mit kritischen Lecks.
Ivanti warnt erneut vor angegriffenen Sicherheitslücken in der Cloud Services Appliance (CSA). Kriminelle nutzen eine ältere Lücke in Kombination mit neuen Schwachstellen, um CSA-Systeme zu kompromittieren. In mehreren weiteren Produkten schließt Ivanti zudem Schwachstellen, die teils als kritisches Risiko eingestuft werden.
Ein Blog-Beitrag von Ivanti fasst die Oktober-Updates zusammen. Demnach greifen bösartige Akteure Sicherheitslücken in Ivantis CSA 4.6 an, das im September die letzten Sicherheitsupdates erhalten hat und am End-of-Life angekommen ist. Es handelt sich um eine Befehlsschmuggel-Lücke (CVE-2024-9380, CVSS 7.2, Risiko "hoch"), eine Path-Traversal-Schwachstelle (CVE-2024-9381, CVSS 7.2, hoch) und schließlich eine SQL-Injection-Lücke (CVE-2024-9379, CVSS 6.5, mittel), die von den Kriminellen in Kombination mit der alten Schwachstelle CVE-2024-8963 (Risiko "kritisch") für die Attacken genutzt werde.
Ivanti: Aktualisierungen zĂĽgig installieren
Die Schwachstellen finden sich zwar bis in die CSA-Version 5.0.1, allerdings seien bislang lediglich Angriffe auf die nicht mehr unterstĂĽtzte CSA-Version 4.6 beobachtet worden. Laut Sicherheitsmitteilung schlieĂźt CSA 5.0.2 die LĂĽcken.
Eine kritische Sicherheitslücke findet sich in der VPN- und Network-Access-Control-Software Ivanti Connect Secure und Policy Secure. Angemeldete Nutzer können darin aus der Ferne Code einschleusen und ausführen (CVE-2024-37404, CVSS 9.1, kritisch). Die Versionen Ivanti Policy Secure 22.7R1.1 sowie Ivanti Connect Secure 9.1R18.9 (erscheint am 15.10.), 22.7R2.1 und 22.7R2.2 bügeln die Fehler aus.
In Ivanti Endpoint Manager Mobile (EPMM) können authentifizierte Angreifer Konfigurationsdateien zugreifen und verändern (CVE-2024-7612, CVSS 8.8, hoch). Ivanti Avalanche 6.4.5 stopft mehrere Lecks mit einer Einstufung als hohes Risiko, die Angreifern die Umgehung der Authentifizierung, Denial-of-Service-Attacken und das unbefugte Abgreifen von Informationen ermöglichen. Bösartige Akteure können zudem in Ivantis Velocity License Server ihre Rechte ausweiten (CVE-2024-9167, CVSS 7.0, hoch). Die betroffenen und korrigierten Versionen finden sich detaillierter in den Sicherheitsmitteilungen.
Da die Sicherheitslücken gravierende Auswirkungen haben können und teils bereits angegriffen werden, sollten IT-Verantwortliche umgehend zur Tat schreiten und die Software aktualisieren. Ivanti schreibt leider nicht, wie sich erfolgreiche Angriffe erkennen und Gegenmaßnahmen ergreifen lassen.
In den vergangenen Wochen musste Ivanti mehrfach Schwachstellen insbesondere in der Cloud Service Appliance stopfen. Nachdem bereits seit Mitte September Angriffe auf die Lücke CVE-2024-8190 gelaufen waren, die als Hürde noch Admin-Rechte voraussetzte, kam in der Woche darauf das kritische Leck CVE-2024-8963 hinzu. Dadurch gelingen Angriffe aus dem Netz ohne Authentifizierung – die prompt auch stattgefunden haben.
(dmk)