{"id":291506,"date":"2024-02-06T08:42:28","date_gmt":"2024-02-06T07:42:28","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=291506"},"modified":"2024-02-16T11:03:24","modified_gmt":"2024-02-16T10:03:24","slug":"kleine-warnung-finger-weg-von-ivanti-vpn","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/06\/kleine-warnung-finger-weg-von-ivanti-vpn\/","title":{"rendered":"Kleine Warnung: Finger weg von Ivanti VPN; die benutzen wohl Uralt-Tools mit"},"content":{"rendered":"

\"Sicherheit[English]Ich greife mal das Thema Ivanti VPN erneut auf, damit Administratoren in ihrem Umfeld geeignet reagieren k\u00f6nnen. Nach einigen Sicherheitsmeldungen gibt es in den USA ja die Aufforderung der Cybersicherheitsbeh\u00f6rde CISA an alle Beh\u00f6rden, Ivanti VPN bis vergangenen Samstag, den 2. Februar 2024, zu deaktivieren, es sei denn, es sind bestimmte Voraussetzungen gegeben. Gerade ist mir ein Fundst\u00fcck in einem Tweet zugegangen, der sich nur als \"Finger weg von Ivanti VPN\" interpretieren l\u00e4sst – die Entscheidung trifft aber jeder Administrator selbst.<\/p>\n

<\/p>\n

\"\"Vorab ein Bekenntnis, \"ich hab von nix einen Ahnung, davon aber ganz viel\" – was auch auf Details der Ivanti-Produktlinie zutrifft. Und es gilt \"Ist der Ruf erst ruiniert, bloggt es sich g\u00e4nzlich ungeniert\", d.h. ich beobachte, ziehe meine Schl\u00fcsse und stelle es im Blog ein – damit Betroffene sich selbst schlau machen und die notwendigen Schl\u00fcssel eigenverantwortlich treffen k\u00f6nnen. Seit dem AnyDesk-Hack werden meine Postf\u00e4cher und Sozial Media Accounts aber mit Informationsbrocken geflutet, wo ich gelegentlich ganz sch\u00f6n zu bei\u00dfen habe, um den Kontext und die Relevanz zu erfassen. Heute war wieder so ein Event, wo ich einige Sekunden nachdenken musste, bis sich mir die Haare im Nacken aufgestellt haben – aber der Fall passt in die aktuelle Software-Landschaft.<\/p>\n

Kurzer R\u00fcckblick zum Thema Ivanti<\/h2>\n

Bis vor kurzem h\u00e4tte ich Ivanti f\u00fcr eine Schokoladenmarke oder irgendwas mit Pizza gehalten. Ok, h\u00e4tte auch ein beliebig anderes Produkt sein k\u00f6nnen – aber es ist ein Firmenname mit einigen Software-Produkten. Dann gab es im Juli 2023 den Fall des Hacks in Norwegen, den ich im Blog-Beitrag Norwegens Regierung \u00fcber Ivanti-Zero-Day gehackt<\/a> auf-, und weiteren Beitr\u00e4gen nachbereitet habe. In Norwegen wurde die IKT-Plattform (Informations- und Kommunikationssystem) angegriffen, auf der 12 Ministerien arbeiten. Die Angreifer konnten \u00fcber eine 0-Day-Schwachstelle eindringen und dann wohl Daten abziehen. Die norwegische Sicherheitsorganisation, Norwegian Security and Service Organization (DSS), hat \u00fcber den Vorfall informiert. Die Angreifer haben eine 0-Day-Schwachstelle im Ivanti Endpoint Manager Mobile (EPMM, MobileIron Core) ausgenutzt, um in die Systeme einzudringen.<\/p>\n

Seit dieser Zeit gibt es hier im Blog regelm\u00e4\u00dfig Beitr\u00e4ge zu Schwachstellen in Ivanti-Produkten (ok, gibt es auch in anderer Software), die dringend gepatcht werden m\u00fcssen. Letzte Meldung hier im Blog war, dass dass die Ivanti VPN-L\u00f6sung arge Sicherheitsprobleme aufweist (siehe Ivanti Connect Secure: Neue Schwachstellen CVE-2024-21888 und CVE-2024-21893 gepatcht<\/a>) und meiner Kenntnis nach auch im Fokus von Angreifern steht. \u00dcber die Schwachstellen k\u00f6nnten die auf die Systeme der Nutzer zugreifen und in deren Netzwerke eindringen.<\/p>\n

CISA weist US-Beh\u00f6rden zum Stillegen an<\/h2>\n

Im Artikel\u00a0 Cyberangriffe: Landratsamt Kelheim; Caritas-Klinik Dominikus in Berlin; Datenfunde im Darknet<\/a> habe ich erw\u00e4hnt, dass die US-Cybersicherheitsbeh\u00f6rde CISA US-Beh\u00f6rden angewiesen hat, Ivanti Connect Secure (ICS) bis zum 2. Februar 2024 au\u00dfer Betrieb zu nehmen. Die Kollegen von Bleeping Computer haben hier<\/a> was dazu ver\u00f6ffentlicht. Die betreffende CISA-Direktive l\u00e4sst sich hier nachlesen<\/a>.<\/p>\n

Ivanti VPN – Blick in den Abgrund<\/h2>\n

Die Nacht wurde ich von einem Leser \u00fcber folgenden Tweet informiert. Sicherheitsforscher Will Dormann hat sich Ivanti VPN mal genauer angeschaut und dabei erstaunliche Entdeckungen gemacht.<\/p>\n

<\/p>\n

Eine aktuelle Installation der Ivanti VPN-Software (als Ivanti VPN box bezeichnet) kommt mit einer curl-Implementierung, die vor 14 Jahren aktualisiert wurde. Zu curl 7.19.7 liefert mir diese Seite<\/a>, dass die am 4. November 2009 ausgerollte Version 61 Sicherheitsprobleme aufweist. Darunter ein Auth\/cookie leak<\/a> bei Redirects.<\/p>\n

Ein OpenSSL\u00a0 1.0.2n-fips ist bereits sechs Jahre als, die 1.0.2 bekommt seit dem 1. Januar 2020 keine Updates mehr. Perl hat als Implementierung perl 5.6.1 23 Jahre mit diesen Schwachstellen<\/a> auf dem Buckel. Und psql 9.6.14 ist auf einem Stand vor f\u00fcnf Jahren (hier<\/a> die Liste des Grauens mit dem Hinweis \"You are currently viewing PostgreSQL security vulnerabilities for an unsupported version. If you are still using PostgreSQL 9.6, you should upgrade as soon as possible.\"). Noch Fragen? Mit solchen \"Beigaben\" braucht es keine Sicherheitsl\u00fccken mehr, die geschlossen werden. Das Produkt scheint eine einzige Sicherheitsl\u00fccke zu sein.<\/p>\n

Zum Thema curl hatte ich ja hier im Blog schon mal was in Verbindung mit Microsoft und Windows geschrieben. Auch dort hat der Software-Gigant aus Redmond Probleme, aktualisierte curl-Versionen auszuliefern, und es gibt immer wieder Phasen, wo curl mit bekannten Schwachstellen in Windows enthalten ist. Aber Ivanti VPN scheint den Vogel abzuschie\u00dfen, wenn der obige Tweet bei allen Versionen so zutrifft. Wer also Ivanti VPN bei sich einsetzt, sollte nachschauen, ob das oben skizzierte Szenario bei einer gepatchten Installation zugrifft und gegebenenfalls sofort aktiv werden. Vielleicht melden sich ja Ivanti-Administratoren, ob die Beobachtung stimmt oder alles \"nur hei\u00dfe Luft\" ist.<\/p>\n

Erg\u00e4nzung:<\/strong> Das Thema ist wohl auch The Hacker News aufgefallen, die das Ganze zum 15. Februar 2024 im Beitrag Ivanti Pulse Secure Found Using 11-Year-Old Linux Version and Outdated Libraries<\/a> aufbereitet haben. Die beziehen sich auf diesen Artikel<\/a> der Sicherheitsforscher von Eclypsiusm\u00a0vom gleichen Datum.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Warnung vor Schwachstellen; Fortinet, Ivanti und mehr (Januar 2024)<\/a>
\nTausende Ger\u00e4te per Ivanti VPN-Schwachstellen angegriffen \u2013 mind. 19 in Deutschland<\/a>
\nMassive Angriffswelle auf Ivanti VPN-Appliances; Warnung, Konfigurations-Pushes kann H\u00e4rtungsma\u00dfnahmen gef\u00e4hrden<\/a>
\nIvanti Connect Secure: Neue Schwachstellen CVE-2024-21888 und CVE-2024-21893 gepatcht<\/a>
\nWindows: cURL 8.4.0 Update kommt zum 14. November 2023-Patchday<\/a>
\nWindows: Microsoft liefert cURL-Bibliothek weiterhin mit Schwachstellen aus (Feb. 2023)<\/a>
\nWindows und die cURL-Falle; gel\u00f6schte Curl-Instanz macht Windows-Update kaputt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ich greife mal das Thema Ivanti VPN erneut auf, damit Administratoren in ihrem Umfeld geeignet reagieren k\u00f6nnen. Nach einigen Sicherheitsmeldungen gibt es in den USA ja die Aufforderung der Cybersicherheitsbeh\u00f6rde CISA an alle Beh\u00f6rden, Ivanti VPN bis vergangenen Samstag, den … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-291506","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291506","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=291506"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291506\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=291506"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=291506"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=291506"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}