![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Ivanti VPN-Appliances scheinen seit Tagen verst\u00e4rkt per Internet angegriffen zu werden. Ich hatte gerade dazu was geschrieben. Nun warnt Ivanti, dass VPN-Appliances sogar angreifbar sind, wenn Administratoren die vorgeschlagenen H\u00e4rtungsma\u00dfnahmen gegen Angriffe ausgef\u00fchrt haben, danach aber ihre Konfigurationen auf die VPN-Appliances hochladen. Denn durch die H\u00e4rtungsma\u00dfnahmen gegen Angriffe funktionieren einige Web-Dienste nicht mehr wie gewohnt.<\/p>\n
<\/p>\n
Sicherheitsforscher von Volexity scannen rund 30.000 bekannte IP-Adressen von Ivanti Connect Secure VPN-Appliances (ICS), die ggf. \u00fcber Schwachstellen angreifbar sind. In diesem Kontext schlagen Sicherheitsforscher seit Tagen Alarm, dass Tausende Ger\u00e4te beispielsweise \u00fcber Ivanti VPN-Schwachstellen, angegriffen werden. Volexity konnte Beweise f\u00fcr die Kompromittierung von \u00fcber 1.700 Ger\u00e4ten weltweit finden. Details lassen sich in diesem Volexity-Beitrag<\/a> nachlesen. <\/p>\n In diesem Kommentar<\/a> zum Artikel Tausende Ger\u00e4te per Ivanti VPN-Schwachstellen angegriffen \u2013 mind. 19 in Deutschland<\/a> schreibt Gi7w0rm, dass mehrere Angreifer bereits herausgefunden haben wie einfach die Schwachstelle automatisiert angegriffen werden kann und dann die Backdoor platziert werden kann. Der Leser berichtet, dass er momentan global Angriffe im Minutentakt sieht, die sich oft sogar \u00fcberlagern. Er geht davon aus, dass die Angreifer ihre Methodiken sicherlich auch verbessern und damit immer mehr Instanzen finden und angreifen werden.<\/p>\n In diesem Tweet<\/a> auf X schreibt ein Sicherheitsforscher, dass er in den letzten zwei Tagen mehrere Unternehmen wie Fluggesellschaften, Wasserversorger sowie Beh\u00f6rden gesehen habe, wo bereits eine .js-Hintert\u00fcr f\u00fcr den Diebstahl von Anmeldedaten vorhanden sei. Sprich: Dort werden alle alle eingegebenen Anmeldedaten von den Angreifern \u00fcber die Backdoor abgezogen. <\/p>\n Zum Wochenende hat der Anbieter Ivanti eine neue Warnung an Administratoren seiner Appliances herausgegeben. Ich bin unter anderem durch Tweets von Will Dorman und Bleeping Computer auf das Thema gesto\u00dfen – die Kollegen von Bleeping Computer haben es hier aufbereitet<\/a>. <\/p>\n Das Ganze bezieht sich auf den Support-Beitrag KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways<\/a> zu den genannten Schwachstellen. Dieser wurde am 20. Januar 2024 aktualisiert, weil die Ivanti-Entwickler auf eine Race-Condition gesto\u00dfen sind, die beim \u00dcbertragen von Ger\u00e4tekonfigurationen auf die Appliances auftreten kann. Diese Race Condition kann sich negativ auf die XML-Remediation auswirken und Kunden angreifbar machen. Dazu hei\u00dft es nun:<\/p>\n Important: <\/b>customers should stop pushing configurations to appliances with the XML in place, and not resume pushing configurations until the appliance is patched. When the configuration is pushed to the appliance, it stops some key web services from functioning, and stops the mitigation from functioning. This only applies to customers who push configurations to appliances, including configuration pushes through Pulse One or nSA. This can occur regardless of a full or partial configuration push.<\/p>\n We have seen evidence of threat actors attempting to manipulate Ivanti's internal integrity checker (ICT). Out of an abundance of caution, we are recommending that all customers run the external ICT. We have added new functionality to the external ICT that will be incorporated into the internal ICT in the future. We regularly provide updates to the external and internal ICT, so customers should always ensure they are running the latest version of each.<\/p>\n The ICT is a snapshot of the current state of the appliance and cannot necessarily detect threat actor activity if they have returned the appliance to a clean state. The ICT does not scan for malware or other Indicators of Compromise. We recommend as a best practice for customers to always run the ICT in conjunction with continuous monitoring.<\/p>\n<\/blockquote>\n Kunden sollten das \u00dcbertragen (Pushen) von Konfigurationen auf Appliances mittels einer XML-Datei stoppen und diest erst wieder aufnehmen, wenn die Appliance gepatcht ist. Wenn die Konfiguration auf die Appliance \u00fcbertragen wird, funktionieren einige wichtige Webdienste nicht mehr und die H\u00e4rtungsma\u00dfnahmen (Mitigation) gegen Angriffe \u00fcber die genannten Schwachstellen funktioniert nicht mehr. Diese Warnung gilt aber nur f\u00fcr Kunden, die Konfigurationen auf Appliances \u00fcbertragen. Dies schlie\u00dft auch die \u00dcbertragung von Konfigurationen \u00fcber Pulse One oder nSA ein. Dies kann unabh\u00e4ngig von einem vollst\u00e4ndigen oder teilweisen Konfigurations-Push auftreten.<\/p>\n Ivanti gibt weiterhin an, dass man Beweise gesehen habe, dass Bedrohungsakteure versuchen, den internen Integrit\u00e4ts-Checker (ICT) von Ivanti zu manipulieren. Aus Gr\u00fcnden der Vorsicht empfehlen die Sicherheitsexperten von Ivanti allen Kunden, den externen ICT des Herstellers einzusetzen. Dazu haben die Entwickler dem externen ICT neue Funktionen hinzugef\u00fcgt, die in Zukunft in den internen ICT integriert werden. Administratoren von Ivanti sollten also den oben verlinkten Support-Beitrag sowie ggf. die Zusammenfassung aus meinem gestrigen Blog-Beitrag sowie aus dem Artikel<\/a> von Bleeping Computer beachten. <\/p>\n","protected":false},"excerpt":{"rendered":" Ivanti VPN-Appliances scheinen seit Tagen verst\u00e4rkt per Internet angegriffen zu werden. Ich hatte gerade dazu was geschrieben. Nun warnt Ivanti, dass VPN-Appliances sogar angreifbar sind, wenn Administratoren die vorgeschlagenen H\u00e4rtungsma\u00dfnahmen gegen Angriffe ausgef\u00fchrt haben, danach aber ihre Konfigurationen auf die … Weiterlesen Im Blog-Beitrag Tausende Ger\u00e4te per Ivanti VPN-Schwachstellen angegriffen \u2013 mind. 19 in Deutschland<\/a> hatte ich zum 22. Januar 2024 nochmals das Problem der zahlreichen Schwachstellen aufgegriffen, die im Januar 2024 in Ivanti-Software-Produkten \u00f6ffentlich wurden. Es gibt zwar Updates, aber nicht alle Ivanti-Installationen sind aktualisiert. <\/p>\n
Angriffe scheinen sich auszuweiten<\/h2>\n
Ivanti gibt neue Warnung heraus<\/h2>\n
![](\"https:\/\/i.postimg.cc\/xqrMmM18\/image.png\"\/)
<\/p>\n\n
Achtung beim Integrit\u00e4ts-Checker<\/h2>\n