{"id":284520,"date":"2023-08-03T12:38:59","date_gmt":"2023-08-03T10:38:59","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=284520"},"modified":"2024-04-06T21:32:48","modified_gmt":"2024-04-06T19:32:48","slug":"diensttelefone-des-digitalministeriums-ber-ivanti-schwachstellen-angreifbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/03\/diensttelefone-des-digitalministeriums-ber-ivanti-schwachstellen-angreifbar\/","title":{"rendered":"Diensttelefone des Digitalministeriums über Ivanti-Schwachstellen angreifbar"},"content":{"rendered":"

\"SicherheitLehrst\u00fcck \u00fcber Digitalisierung und Sicherheit in Deutschland. Gerade wurde bekannt, dass die Diensttelefone des deutschen Bundesministerium f\u00fcr Digitales und Verkehr (kurz Digitalministerium) wohl \u00fcber Schwachstellen angreifbar waren. Die IT-Verantwortlichen haben es vers\u00e4umt, die auch hier im Blog zeitnah thematisierten Schwachstellen im Ivanti Endpoint Manager Mobile (EPMM) zu patchen. \u00dcber diese Schwachstellen wurde die IKT-Plattform von 12 norwegischen Ministerien k\u00fcrzlich gehackt.<\/p>\n

<\/p>\n

Presseberichte zum Fall<\/h2>\n

Es war nur ein kurzer Kommentare<\/a> von 1ST1 (danke daf\u00fcr), der auf diesen Spiegel Online-Beitrag<\/a> hinwies. Inzwischen haben auch andere Medien wie die S\u00fcddeutsche Zeitung (Paywall) das aufgegriffen. Der Artikeltitel beschreibt, dass die Diensttelefone des \"Digitalministeriums\" tagelang angreifbar waren. Und dies, obwohl das BSI und Sicherheitsbeh\u00f6rden vor einer Schwachstelle warnten. Hat nat\u00fcrlich ein besonderes \"Geschm\u00e4ckle\", wenn die IT des deutschen Ministeriums, welches f\u00fcr die Digitalisierung zust\u00e4ndig ist, diesbez\u00fcglich patzt.<\/p>\n

Das Digitalministerium nutzt Ivantu EPMM<\/h3>\n

Erst als ich mir gestern Abend den Beitrag mal durchgelesen habe, stie\u00df ich auf das Stichwort Ivanti und mir wurde sofort klar, was passiert war.\u00a0 Auch das Ministerium setzt auf den Ivanti Endpoint Manager Mobile (EPMM) auf, um die Sicherheit seiner IT-Infrastruktur (konkret, die Mobilger\u00e4te und Telefone) zu verbessern. Die Software soll auch sicherstellen, dass dort entsprechende Sicherheitsupdates auf den Ger\u00e4ten installiert und nicht freigegebene Programme zur Installation blockiert werden. Kann man so tun, aber man sollte sicherstellen, dass auch die Ivanti-Software aktuell ist.\u00a0 Und hier beginnt der Skandal.<\/p>\n

CERT-Bund\/BSI warnte<\/h3>\n

Das Bundesamt f\u00fcr Sicherheit in der Informationsverarbeitung (BSI) warnte bereits am 25.7.2023 vor einer 0-day-Schwachstelle im Ivanti Endpoint Manager Mobile (EPMM). Auch auf Twitter<\/a> hatte ich eine Warnung von CERT-Bund zum Thema gelesen. Die Authentifizierungs-Bypass-Schwachstelle CVE-2023-35078<\/a> hatte den l\u00e4ppischen CVSS-Score von 10.0 (besser geht nicht).<\/p>\n

Die Leserschaft meines Blogs war zeitnah \u00fcber diese Schwachstelle informiert, weil ich das Thema vor der Freigabe der BSI-Warnung bereits \u00fcber US-Medien und das Umfeld des Hacks der IKT-Plattform von 12 norwegischen Ministerien angesprochen hatte. Ivanti hatte zeitnah Sicherheitsupdates zum Schlie\u00dfen der ersten 0-day-Schwachstelle f\u00fcr seine Software und eine entsprechende Sicherheitswarnung ver\u00f6ffentlicht. Sp\u00e4ter musste der Hersteller dann eine zweite Sicherheitswarnung samt Update nachschieben, weil eine zweite 0-day-Schwachstelle entdeckt worden war.<\/p>\n

Ivanti schrieb zwar in seinen Sicherheitshinweisen, dass ihm nur einige wenige Angriffe in freier Wildbahn auf konkrete Kunden bekannt seien. Aber die verwundbaren Systeme lassen sich \u00fcber Suchmaschinen wie Shodan aufsp\u00fcren, es ist eine Frage der Zeit, bis gr\u00f6\u00dfere Angriffswellen starten. Einzige Abhilfe ist das unverz\u00fcgliche Patchen der betroffenen Software.<\/p><\/blockquote>\n

The Digitalministerium sleeps tonight<\/h3>\n

Im Digitalministerium von Verkehrsminister Wissing passierte aber genau nichts. Deren IT-Verantwortliche vers\u00e4umten es tagelang, die betreffenden Updates f\u00fcr den Ivanti Endpoint Manager Mobile (EPMM) einzuspielen. Angreifer w\u00e4ren in der Lage gewesen, \u00fcber die Ivanti-Software auf die Telefone zuzugreifen, und Daten wie Kontakte abzugreifen. Es w\u00e4re sogar m\u00f6glich gewesen, die Mobilger\u00e4te neu zu konfigurieren.<\/p>\n

Laut Spiegel Online war auch Zollkriminalamt durch die Schwachstellen betroffen; auch dort reagierten die Verantwortlichen in der IT nicht auf die betreffende BSI-Warnung, das dringend die zeitnahe Installation der Sicherheitsupdates empfahl.<\/p>\n

With a little help from our friends<\/h3>\n

Das Ganze w\u00e4re noch eine Weile so weiter gegangen, aber nach einer Woche meldete sich ein anonymer \"friendly Hacker\" bei der S\u00fcddeutsche Zeitung und informierte die Redaktion \u00fcber die bestehende Sicherheitsl\u00fccke im Digitalministerium. Nachdem die Redaktion der S\u00fcddeutschen Zeitpunkt sich an das Ministerium wandte, f\u00fchlten sich die IT-Verantwortlichen aus dem Schlaf gerissen. Der Ivanti Endpoint Manager Mobile (EPMM) wurde am 31. Juli 2023 auf die aktuelle Version gebracht, so dass die Schwachstellen geschlossen sein sollten.<\/p>\n

Der Hack in Norwegen<\/h2>\n

F\u00fcr Leser, die nicht so im Thema drin sind: Ich hatte im Blog-Beitrag Norwegens Regierung \u00fcber Ivanti-Zero-Day gehackt<\/a> \u00fcber den Vorfall berichtet, der dazu f\u00fchrte, dass Ivanti die 0-day-Schwachstellen bekannt wurden. Es gab einen erfolgreichen Cyberangriff auf eine IKT-Plattform (Informations- und Kommunikationssystem) der norwegischen Regierung, von der 12 Ministerien betroffen waren. Die Angreifer konnten \u00fcber die 0-Day-Schwachstelle, CVE-2023-35078<\/a>, im Produkt Ivanti Endpoint Manager (EPMM), fr\u00fcher bekannt als MobileIron Core, in das System eindringen und dann Daten abziehen.<\/p>\n

Zum 31. Juli 2023 hatte ich dann den zweiten Blog-Beitrag Ivanti best\u00e4tigt 2. Schwachstelle CVE-2023-35081 bei Hack der norwegischen Regierung<\/a> ver\u00f6ffentlicht. In der Analyse des Sicherheitsvorfalls\u00a0 war noch eine weitere Schwachstelle CVE-2023-35081<\/a> identifiziert worden, die zum 28. Juli 2023 erstmals in diesem Ivanti-Sicherheitshinweis<\/a> aufgegriffen wurde. Bei CVE-2023-35081 handelt es sich um eine Path-Traversal-Schwachstelle entdeckt, die es einem Angreifer erm\u00f6glicht, beliebige Dateien auf die Appliance zu schreiben. Der Angreifer muss bereits als Administrator authentifiziert sein, kann dann aber beliebige Dateischreiboperationen auf dem EPMM-Server durchf\u00fchren.<\/p>\n

Laut Ivanti kann diese Schwachstelle (CVSS-Score von 7.2) in Verbindung mit CVE-2023-35078 genutzt werden, um die Administrator-Authentifizierung und ACL-Beschr\u00e4nkungen (falls zutreffend) zu umgehen. Bei erfolgreicher Ausnutzung k\u00f6nnen b\u00f6sartige Dateien auf die Appliance geschrieben werden, was es einem b\u00f6swilligen Akteur letztendlich erm\u00f6glicht, Betriebssystembefehle auf der Appliance als Tomcat-Benutzer auszuf\u00fchren. Genau dies soll wohl laut Ivanti-Sicherheitshinweis bei dem Hack in Norwegen genutzt worden sein.<\/p>\n

Alles in allem eine sehr brisante Gemengelage, und in Norwegen ist man wohl immer noch dabei, den Cyberangriff zu analysieren. Unsere wackeren IT-Verantwortlichen im Digitalministerium sowie beim Zollkriminalamt (und ich vermute in weiteren Beh\u00f6rden und Firmen) belieben, das Ganze auszusitzen.<\/p>\n

Warnung: Wohl viele Systeme angreifbar<\/h2>\n

Von Palo Alto Networks liegt mir seit Montag (31. Juli 2023) ein Report vor, der besagt, dass eine Cortex Xpanse-Datenanalyse (Stand 24. Juli 2023) f\u00fcr das Angriffsfl\u00e4chenmanagement ergeben habe, dass in insgesamt 85 L\u00e4ndern \u00fcber 5.500 IEMM-Server in verschiedenen Versionen im Internet \u00f6ffentlich zug\u00e4nglich sind. Die regionalen Statistiken dieses Scans zeigen, dass \u00fcber 80 Prozent dieser Server in westlichen L\u00e4ndern stehen und sich auf mehrere Bereiche und Branchen erstrecken. Hierzu z\u00e4hlen Regierungsbeh\u00f6rden, das Gesundheitswesen, Anwaltskanzleien, Universit\u00e4ten, Finanzinstitute, Wohlt\u00e4tigkeitsorganisationen und der Einzelhandel.<\/p>\n

\"Ivanti
\n\u00d6ffentlich zug\u00e4ngliche Ivanti Endpoint Manager Mobile (EPMM) Instanzen; Quelle Palo Alto Networks<\/p>\n

In Deutschland und den USA waren es zu diesem Zeitpunkt jeweils \u00fcber 1.000 Server. Die mit Abstand meisten Angriffe haben die Bedrohungsforscher in Deutschland festgestellt, gefolgt von den USA und Gro\u00dfbritannien (siehe auch obige Grafik).<\/p>\n

Angesichts der Anzahl der potenziell gef\u00e4hrdeten Server im Internet, auf denen diese Software l\u00e4uft, ist es sehr wahrscheinlich, dass viele Institutionen oder Unternehmen in verschiedenen L\u00e4ndern zum Angriffsziel werden k\u00f6nnten oder bereits geworden sind, hei\u00dft es von den Palo Alto-Sicherheitsforschern der Unit 42. Open-Source-Berichte deuten darauf hin, dass erste Angriffe h\u00f6chstwahrscheinlich stattfanden, bevor Ivanti von der Sicherheitsl\u00fccke wusste.<\/p>\n

Bei einer Recherche, die ich gerade durchgef\u00fchrt habe, bin ich auf diesen Artikel<\/a> von Security Week gesto\u00dfen. Dort geht man davon aus, dass die Angriffe auf die norwegische IKT-Plattform seit mindestens April 2023 stattfanden. Basis ist wohl diese CISA-Warnung<\/a> vom 1. August 2023, die mir sogar \u00fcber Twitter untergekommen war – aktuell wird sie hier<\/a> thematisiert. Allerdings ging ich – auch auf Grund der Abrufzahlen der Beitr\u00e4ge hier im Blog – davon aus, dass es Deutschland und die Leserschaft nicht tangiert. Ich stelle fest, ich habe die \"falschen Leser\", aber vom Digitalministerium liest man hier nicht mit. Inzwischen habe ich auch Hinweise von Sicherheitsforschern gefunden, dass sich Angreifer so langsam auf diese Schwachstellen einschie\u00dfen und aktiv nach angreifbaren Systemen im Internet scannen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nNorwegens Regierung \u00fcber Ivanti-Zero-Day gehackt<\/a>
\nIvanti best\u00e4tigt 2. Schwachstelle CVE-2023-35081 bei Hack der norwegischen Regierung<\/a>
\nDiensttelefone des Digitalministeriums \u00fcber Ivanti-Schwachstellen angreifbar<\/a>
\nSchwachstelle CVE-2023-35082 in Ivanti MobileIron Core (bis Version 11.2)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Lehrst\u00fcck \u00fcber Digitalisierung und Sicherheit in Deutschland. Gerade wurde bekannt, dass die Diensttelefone des deutschen Bundesministerium f\u00fcr Digitales und Verkehr (kurz Digitalministerium) wohl \u00fcber Schwachstellen angreifbar waren. Die IT-Verantwortlichen haben es vers\u00e4umt, die auch hier im Blog zeitnah thematisierten Schwachstellen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-284520","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284520","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=284520"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284520\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=284520"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=284520"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=284520"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}