Jetzt patchen! Attacken auf Ivanti Cloud Service Appliance verschärfen sich
Derzeit kombinieren Angreifer zwei SicherheitslĂĽcken, um auf Cloud Services Appliances von Ivanti Schadcode auszufĂĽhren.
(Bild: antb/Shutterstock.com)
Verwalten Admins den Internetzugriff von Geräten über Ivantis Cloud Services Appliance (CSA), sollten sie aufgrund laufender Attacken rasch das verfügbare Sicherheitsupdate installieren.
Schwachstellen-Cocktail
Attacken auf CSA laufen bereits seit vergangener Woche (CVE-2024-8190 "hoch"). Doch um Schadcode auf Systeme zu schieben und auszuführen, müssen Angreifer bereits Admin sein. Das ist eine nicht zu vernachlässigende Hürde.
Mittlerweile warnt Ivanti in einem Beitrag vor einer weiteren Sicherheitslücke (CVE-2024-8963 "kritisch"), durch deren erfolgreiche Ausnutzung Angreifer die Admin-Authentifizierung umgehen können. Kombinieren bösartige Akteure beide Lücken, vereinfacht das Attacken signifikant. Im Ergebnis sind jetzt Angriffe aus der Ferne ohne Authentifizierung möglich.
Ivanti spricht erneut von Attacken auf eine "begrenzte" Anzahl von Kunden. Wie viele das konkret sind und wie Attacken im Detail ablaufen, fĂĽhren sie derzeit nicht aus.
Systeme gegen die Attacken absichern
Um Appliances vor Angriffen zu schĂĽtzen, mĂĽssen Admins die gepatchte CSA-Version 4.6 Patch 519 oder CSA 5.0 installieren. Die Entwickler weisen darauf hin, dass der Support fĂĽr CSA 4.6 ausgelaufen ist und hiermit das letzte Sicherheitsupdate fĂĽr diesen Versionsstrang erscheint. Admins sollten demzufolge zeitnah ein Upgrade auf die 5er-Releases vornehmen.
Um bereits erfolgte Attacken zu erkennen, müssen Admins nach neu hinzugefügten oder modifizierten Admin-Accounts Ausschau halten. Weitere Hinweise finden sich im lokalen Broker Log. Außerdem sollten sie ein Auge auf Alarme von Endpoint-Detection-and-Response-Lösungen (EDR) haben.
FĂĽr die Zukunft gelobt Ivanti in einem Beitrag Besserung und will unter anderem interne Prozesse optimieren, um die Sicherheit von eigenen Produkten zu steigern.
(des)
