![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Im Januar 2024 wurden erneut zahlreiche Schwachstellen in Ivanti-Software-Produkten \u00f6ffentlich. Es gibt zwar Updates, aber nicht alle Ivanti-Installationen sind aktualisiert. Sicherheitsforscher schlagen Alarm, dass Tausende Ger\u00e4te beispielsweise \u00fcber Ivanti VPN-Schwachstellen angegriffen werden. Mir liegen aktuelle Zahlen vom Wochenende vor – auch Deutschland geh\u00f6rt zu den Betroffenen – mindestens 19 Installationen scheinen kompromittiert.<\/p>\n
<\/p>\n
Wer Ivanti Software einsetzt lebt riskant. Im August 2023 wurde bekannt, dass in Norwegen die IKT-Plattform (Informations- und Kommunikationssystem) angegriffen wurde, auf der 12 Ministerien arbeiten. Die Angreifer konnten \u00fcber eine 0-Day-Schwachstelle eindringen und dann wohl Daten abziehen. In Folge gab es seinerzeit mehrere Meldungen \u00fcber weitere Schwachstellen in Ivanti-Produkten (siehe Links am Artikelende). Nun scheint sich die Geschichte fortzusetzen.<\/p>\n
Ich hatte Anfang Januar 2024 im Blog-Beitrag Ivanti fixt kritische Schwachstelle CVE-2023-39336 in EPM<\/a> erw\u00e4hnt, dass der Anbieter Ivanti vor einer Schwachstelle CVE-2023-39336 in seinem Endpoint Manager Mobile (EPM) warnt. Diese erm\u00f6glicht es nicht authentifizierten Angreifern, angemeldete Ger\u00e4te oder den Hauptserver zu \u00fcbernehmen. Die Sicherheitsl\u00fccke CVE-2023-39336 betrifft alle unterst\u00fctzten Ivanti EPM-Versionen und wurde\u00a0 in Version 2022 Service Update 5 behoben.<\/p>\n Wenige Tage sp\u00e4ter habe ich im Beitrag Warnung vor Schwachstellen; Fortinet, Ivanti und mehr (Januar 2024)<\/a> vor den Schwachstellen Schwachstellen CVE-2023-46805 (Umgehung der Authentifizierung) & CVE-2024-21887 (Befehlsinjektion) in \u00e4lteren Versionen von Ivanti Connect Secure und Ivanti Policy Secure Gateway gewarnt. Ivanti hatte zum 10. Januar 2024 den Forenbeitrag CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways<\/a> ver\u00f6ffentlicht. heise hat das Ganze in diesem Beitrag<\/a> angesprochen.<\/p>\n heise berichtet in diesem Artikel<\/a>, dass das BSI in der IT-Fernzugriff-Software des Landtags Nordrhein-Westfalen eine Sicherheitsl\u00fccke entdeckt. Sie wurde daher deaktiviert. Heise vermutet, dass es sich bei der IT-Fernzugriff-Software des Landtags Nordrhein-Westfalen um Ivanti VPN handeln k\u00f6nnte.<\/p>\n Und zum Ende letzter Woche gab es bei heise die Meldung<\/a>, dass Angreifer derzeit eine kritische Sicherheitsl\u00fccke in Ivanti EPMM und MobileIron Core f\u00fcr Angriffe ausnutzen. Die Cybersecurity & Infrastructure Security Agency (CISA) warnt vor Attacken auf die Ger\u00e4temanagementl\u00f6sungen Ivanti EPMM und MobileIron Core. Sicherheitsupdates sind verf\u00fcgbar. In Deutschland sind der Suchmaschine Shodan zufolge mehr als 2000 dieser Ivanti-Instanzen \u00fcber das Internet erreichbar (es ist unklar, ob die Instanzen verwundbar sind – Sicherheitsupdates gibt es).<\/p>\n Und dann gab es die Warnung<\/a>, dass Schwachstellen in Ivantis VPN-Software derzeit massiv angegriffen werden. Sicherheitsforscher von Volexity scannen rund 30.000 bekannte IP-Adressen von Ivanti Connect Secure VPN-Appliances (ICS), die auf Grund der obigen Schwachstellen verwundbar sind. In der am 15. Januar 2024 ver\u00f6ffentlichten Analyse von Volexity schreiben die Sicherheitsforscher, dass man\u00a0 auch eine Methode entwickelt habe, um Ger\u00e4te auf Anzeichen einer Kompromittierung zu \u00fcberpr\u00fcfen. Erkenntnisse eines Scans:<\/p>\n Details lassen sich in diesem Volexity-Beitrag<\/a> nachlesen. Sicherheitsforscher von Shadowserver haben am Wochenende in Tweets<\/a> darauf hingewiesen, dass die Zahl der Ivanti Connect Secure VPN-Instanzen, die durch einen Credential Stealer kompromittiert sind, zunehme.<\/p>\n Ich habe mir die Auswertung<\/a> hier angesehen, filtert man das Ganze f\u00fcr \"Germany\" als Region<\/a>, bleiben aktuell 19 Eintr\u00e4ge von kompromittierten Instanzen \u00fcbrig (das ist binnen zwei Tagen von 9 auf 19 gestiegen). Es ist wohl eine Frage der Zeit, bis die n\u00e4chsten Cybervorf\u00e4lle in Deutschland bekannt werden. Setzt jemand von euch Ivanti VPN ein?<\/p>\n Erg\u00e4nzung:<\/strong> Auf Twitter hat jemand noch einige Informationen gepostet<\/a> – hier einige Textausz\u00fcge:<\/p>\n RE: Ivanti Connect Secure In the last few days, I have seen and reported compromises in some of the most important critical infrastructures across the globe. – Flight companies – Water facilities – local and federal governments – anti-drug taskforce and more.<\/p>\n Many already have the .js backdoor for credential theft, meaning all entered credentials are exfiltrated somewhere. This vulnerability is brutal and it should remind us of how fragile our modern infrastructure is. Just hoping every notified company does a thorough IR… 2\/2<\/p><\/blockquote>\n Der Betreffende f\u00fchrt auf GitHub eine Liste<\/a> an Adressen, die aufgefallen sind. Erg\u00e4nzung:<\/strong> Es gibt eine neue Warnung von Ivanti, siehe\u00a0Massive Angriffswelle auf Ivanti VPN-Appliances; Warnung, Konfigurations-Pushes kann H\u00e4rtungsma\u00dfnahmen gef\u00e4hrden<\/a>.<\/p>\n \u00c4hnliche Artikel:<\/strong> Im Januar 2024 wurden erneut zahlreiche Schwachstellen in Ivanti-Software-Produkten \u00f6ffentlich. Es gibt zwar Updates, aber nicht alle Ivanti-Installationen sind aktualisiert. Sicherheitsforscher schlagen Alarm, dass Tausende Ger\u00e4te beispielsweise \u00fcber Ivanti VPN-Schwachstellen angegriffen werden. Mir liegen aktuelle Zahlen vom Wochenende vor – … Weiterlesen Angriffe auf Ivanti VPN<\/h2>\n
\n
![](\"https:\/\/i.postimg.cc\/d1YxBYK7\/image.png\")
<\/a><\/p>\n
\nNorwegens Regierung \u00fcber Ivanti-Zero-Day gehackt<\/a>
\nIvanti best\u00e4tigt 2. Schwachstelle CVE-2023-35081 bei Hack der norwegischen Regierung<\/a>
\nDiensttelefone des Digitalministeriums \u00fcber Ivanti-Schwachstellen angreifbar<\/a>
\nSchwachstelle CVE-2023-35082 in Ivanti MobileIron Core (bis Version 11.2)<\/a>
\nNeue 0-day-Schwachstelle CVE-2023-38035 in Ivanti Sentry<\/a>
\nPalo Alto: Nachlese der Schwachstellen im Ivanti Endpoint Manager Mobile (August 2023)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"