{"id":292153,"date":"2024-02-13T12:08:43","date_gmt":"2024-02-13T11:08:43","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=292153"},"modified":"2024-02-13T12:08:43","modified_gmt":"2024-02-13T11:08:43","slug":"cybersicherheit-bei-fortios-ssl-vpn-und-ivanti-connect-secure-brennt-die-htte","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/13\/cybersicherheit-bei-fortios-ssl-vpn-und-ivanti-connect-secure-brennt-die-htte\/","title":{"rendered":"Cybersicherheit: Bei FortiOS SSL VPN und Ivanti Connect Secure "brennt die Hütte""},"content":{"rendered":"

\"SicherheitNoch eine kurze Warnung mit dem ich zwei lichterloh brennende \"H\u00fctten\" im IT-Bereich noch schnell abr\u00e4ume. Bei Ivanti Connect Secure gibt es eine Auth-Bypass-Schwachstelle, die bei einigen Systemen ungepatcht ist und inzwischen von Cyberangreifern ausgenutzt wird. Auch in Deutschland stehen Systeme. Und die Administratoren von FortiOS SSL VPN sollten ebenfalls seit einigen Tagen die betreffenden FortiOS-Systeme gepatcht haben. Es gibt einen kritischen Bug CVE-2024-21762 in FortiOS SSL VPN, der f\u00fcr Angriffe ausgenutzt wird.<\/p>\n

<\/p>\n

Cyberangriffe auf Ivanti Connect Secure <\/h2>\n

\"\"Ich hatte letzte Woche ja provokativ Kleine Warnung: Finger weg von Ivanti VPN; die benutzen wohl Uralt-Tools mit<\/a> getitelt und auf den Aktualisierungsstand bei einem Ivanti-Produkt hingewiesen. Gab die Kritik, dass man das nicht so sehen k\u00f6nne – und auch die Aufforderung der Cybersicherheitsbeh\u00f6rde CISA an alle US-Beh\u00f6rden, Ivanti VPN bis vergangenen Samstag, den 2. Februar 2024, zu deaktivieren, wenn bestimmte Randbedingungen nicht eingehalten werden, wurde relativiert. <\/p>\n

Kann ich mit leben, ich berichte nur. Am Artikelende sind meine Beitr\u00e4ge zu Ivanti Connect Secure \/VPN verlinkt, die sich mit Schwachstellen und Angriffen besch\u00e4ftigen. Und mir kam die Tage der Blog-Beitrag Ivanti: Patch new Connect Secure auth bypass bug immediately<\/a> von Bleeping Computer unter die Augen. Es wird auf eine Warnung von Ivanti verwiesen, die eine neue Authentifizierungsumgehungsschwachstelle, die Connect Secure-, Policy Secure- und ZTA-Gateways betrifft. Ivanti forderte Administratoren auf, ihre Appliances sofort abzusichern.<\/p>\n

Die Schwachstelle (CVE-2024-22024) ist auf eine XXE (XML eXternal Entities)-Schwachstelle in der SAML-Komponente der Gateways zur\u00fcckzuf\u00fchren, die es Angreifern erm\u00f6glicht, in einfachen Angriffen Zugriff auf eingeschr\u00e4nkte Ressourcen auf ungepatchten Appliances zu erhalten, ohne dass eine Benutzerinteraktion oder Authentifizierung erforderlich ist.<\/p>\n

\"Ivanti<\/a><\/p>\n

Muss uns alles nicht interessieren, wir sind gepatcht? Die Nacht ist mir obiger Tweet<\/a> von ShadowServer untergekommen, der auf diesen Report<\/a> vom 10. Februar 2024 verweist. Deren Sicherheitsforscher scannen das Internet seit dem 9. Februar 2024 nach verwundbaren Ivanti Connect Secure-Instanzen. Momentan steht der Z\u00e4hler wohl bei 141 Instanzen, wo Anzeichen einer Infektion mit der DSLog-Backdoor vorliegen. Deutschland ist mit vier Instanzen auch vertreten. Die Kollegen von Bleeping Computer haben gestern im Blog-Beitrag Hackers exploit Ivanti SSRF flaw to deploy new DSLog backdoo<\/a> \u00fcber diese Backdoor berichtet. Und The Hacker News schreibt heute in diesem Beitrag<\/a>, dass auf \u00fcber 670 IT-Systemen diese DSLog-Backdoor gefunden wurde – kann irgendwie noch lustig werden.<\/p>\n

\"Attacks<\/a><\/p>\n

In obigem Tweet<\/a> vom 12. Februar zeigt Shadow Server die Angriffswelle auf die Ivanti Connect Secure Schwachstelle CVE-2024-22024. Die Diskussionen zur Schwachstelle finden sich bei Ivanti<\/a>. <\/p>\n

Angriffe auf FortiOS SSL VPN<\/h2>\n

Ich hatte hier im Blog ja in der vorigen Woche im Blog-Beitrag Critical FortiOS-Bug (8. Feb. 2024)<\/a>berichtet, dass Fortinet zum 8. Februar 2024 alle seine FortiOS-Versionen neu released habe. Details gab es keine, aber die Vermutung ist, dass es wieder einen kritischen SSLVPN Bug gibt.<\/p>\n

<\/a><\/p>\n

The Hacker News weist in obigem Tweet und diesem Artikel<\/a> auf eine Warnung der CISA hin, dass der die neue, kritische Sicherheitsl\u00fccke CVE-2024-21762 in FortiOS SSL VPN f\u00fcr Angriffe ausgenutzt wird. Auch die Kollegen von Bleeping Computer haben das Thema in diesem Artikel<\/a> und im Beitrag hier<\/a> aufgegriffen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
Ivanti Connect Secure: Neue Schwachstellen CVE-2024-21888 und CVE-2024-21893 gepatcht<\/a>
Tausende Ger\u00e4te per Ivanti VPN-Schwachstellen angegriffen \u2013 mind. 19 in Deutschland<\/a>
Massive Angriffswelle auf Ivanti VPN-Appliances; Warnung, Konfigurations-Pushes kann H\u00e4rtungsma\u00dfnahmen gef\u00e4hrden<\/a>
Kleine Warnung: Finger weg von Ivanti VPN; die benutzen wohl Uralt-Tools mit<\/a> 
Niederlande: Milit\u00e4rnetzwerk \u00fcber FortiGate gehackt; Volt Typhoon-Botnetz seit 5 Jahren in US-Systemen<\/a>
Warnung vor Schwachstellen; Fortinet, Ivanti und mehr (Januar 2024)<\/a>
Probleme mit Fortinet Support-Portal ab 5. Februar 2024?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Noch eine kurze Warnung mit dem ich zwei lichterloh brennende \"H\u00fctten\" im IT-Bereich noch schnell abr\u00e4ume. Bei Ivanti Connect Secure gibt es eine Auth-Bypass-Schwachstelle, die bei einigen Systemen ungepatcht ist und inzwischen von Cyberangreifern ausgenutzt wird. Auch in Deutschland stehen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-292153","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292153","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=292153"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292153\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=292153"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=292153"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=292153"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}