Jetzt patchen! Attacken auf Ivanti Cloud Service Appliance verschärfen sich
Derzeit kombinieren Angreifer zwei Sicherheitslücken, um auf Cloud Services Appliances von Ivanti Schadcode auszuführen.
(Bild: antb/Shutterstock.com)
Verwalten Admins den Internetzugriff von Geräten über Ivantis Cloud Services Appliance (CSA), sollten sie aufgrund laufender Attacken rasch das verfügbare Sicherheitsupdate installieren.
Schwachstellen-Cocktail
Attacken auf CSA laufen bereits seit vergangener Woche (CVE-2024-8190 "hoch"). Doch um Schadcode auf Systeme zu schieben und auszuführen, müssen Angreifer bereits Admin sein. Das ist eine nicht zu vernachlässigende Hürde.
Mittlerweile warnt Ivanti in einem Beitrag vor einer weiteren Sicherheitslücke (CVE-2024-8963 "kritisch"), durch deren erfolgreiche Ausnutzung Angreifer die Admin-Authentifizierung umgehen können. Kombinieren bösartige Akteure beide Lücken, vereinfacht das Attacken signifikant. Im Ergebnis sind jetzt Angriffe aus der Ferne ohne Authentifizierung möglich.
Ivanti spricht erneut von Attacken auf eine "begrenzte" Anzahl von Kunden. Wie viele das konkret sind und wie Attacken im Detail ablaufen, führen sie derzeit nicht aus.
Systeme gegen die Attacken absichern
Um Appliances vor Angriffen zu schützen, müssen Admins die gepatchte CSA-Version 4.6 Patch 519 oder CSA 5.0 installieren. Die Entwickler weisen darauf hin, dass der Support für CSA 4.6 ausgelaufen ist und hiermit das letzte Sicherheitsupdate für diesen Versionsstrang erscheint. Admins sollten demzufolge zeitnah ein Upgrade auf die 5er-Releases vornehmen.
Um bereits erfolgte Attacken zu erkennen, müssen Admins nach neu hinzugefügten oder modifizierten Admin-Accounts Ausschau halten. Weitere Hinweise finden sich im lokalen Broker Log. Außerdem sollten sie ein Auge auf Alarme von Endpoint-Detection-and-Response-Lösungen (EDR) haben.
Für die Zukunft gelobt Ivanti in einem Beitrag Besserung und will unter anderem interne Prozesse optimieren, um die Sicherheit von eigenen Produkten zu steigern.
(des)
