{"id":295077,"date":"2024-05-07T00:11:00","date_gmt":"2024-05-06T22:11:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=295077"},"modified":"2024-05-06T19:23:53","modified_gmt":"2024-05-06T17:23:53","slug":"ivanti-information-disclosure-schwachstelle-seit-2019-offen-keine-reaktion","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/05\/07\/ivanti-information-disclosure-schwachstelle-seit-2019-offen-keine-reaktion\/","title":{"rendered":"Ivanti Information Disclosure-Schwachstelle seit 2019 offen – keine Reaktion"},"content":{"rendered":"

\"SicherheitDer Softwareanbieter Ivanti f\u00e4llt nicht nur durch zahlreiche Sicherheitsl\u00fccken in seinen Produkten auf. Ein Blog-Leser hat mich dar\u00fcber informiert, dass es eine Schwachstelle im Ivanti-Portal gibt, die u.U. Informationen \u00fcber Nutzer gegen\u00fcber unbefugten Dritten offen legt. Die Information Disclosure-Schwachstelle existiert seit mindestens dem Jahr 2019 und wurde vom Leser mehrfach, zuletzt \u00fcber deren CISO Anfang Februar 2023, eskaliert. Passiert ist seitens Ivanti genau nichts. <\/p>\n

<\/p>\n

\"\"Beim Namen Ivanti zuckt es bei mir, denn da kann es nur um Schwachstellen und gehackte Kunden gehen. Im Beitrag Kleine Warnung: Finger weg von Ivanti VPN; die benutzen wohl Uralt-Tools mit<\/a> hatte ich erw\u00e4hnt, dass da offenbar Uralt-Versionen von Software zusammengeschustert und dann mit den Produkten vertrieben wird. Das letzte Mal, dass mit Ivanti hier im Blog unterkam, war der MITRE-Hack. Im April 2024 wurde bekannt, dass das Forschungsnetzwerk von MITRE gehackt wurde. Der Angriff erfolgte durch mutma\u00dflich staatliche Akteure, die \u00fcber zwei Zero-Day-Schwachstellen in Produkten des IT-Anbieters Ivanti in die Systeme eindringen konnten. Sucht man hier im Blog nach Ivanti, wird einem \"die Liste der Grausamkeiten\" ausgeworfen – Beitr\u00e4ge \u00fcber Sicherheitsl\u00fccken oder kompromittierte Ivanti-Kunden zuhauf. Soweit so schlecht. <\/p>\n

Ein Leserhinweis auf Schwachstelle<\/h2>\n

Die obigen Informationen gingen mir durch den Kopf, als ich vor wenigen Stunden die Mail eines Blog-Lesers erhielt. Der Leser f\u00fchrt in der Mail aus, dass seit mindestens 2019 eine Information Disclosure-Schwachstelle im Ivanti Kunden-Management-Portal<\/a> existiert. In diesem Portal k\u00f6nnen Kunden sich \u00fcber ihrer Lizenzen informieren, oder auch Tickets erstellen. Problem ist, dass man nur eine E-Mail-Adresse einer Firma ben\u00f6tigt, um sich beim Portal zu registrieren und sich anschlie\u00dfend im Portal umsehen kann. <\/p>\n

Wie l\u00e4uft es ab?<\/h3>\n

Der Leser schrieb: \"Typischerweise betreibt eine Firma keine separaten Maildom\u00e4nen, um ihre Portalzug\u00e4nge zu verwalten. Somit gilt: Jeder Mitarbeiter, der eine beliebige @CORP.TLD Adresse hat, bekommt quasi Zugriff auf das Ivanti-Kunden-Management-Portal.\" Dazu reicht es, dass sich der Mitarbeiter mit der E-Mail-Adresse beim o.g. Ivanti Kunden-Management-Portal<\/a> registriert. Es gibt dann einen Automatismus, der dieses neuen Konto einem bestehenden Kundenbereich zuordnet.<\/p>\n

\"Ivanti<\/p>\n

Der Leser schrieb: \"Man kann in die Maske einfach irgendwas eintippen, das muss nicht mal stimmen – nur die E-Mail-Adresse halt. Ich habe mich z.B. mit Hallo Ibins<\/em> registriert. Felder wie Company Code<\/i> l\u00e4sst man einfach leer.\" Wie es sich verh\u00e4lt, wenn mehrere Firmen (Multicorp Konstrukt) auf eine Domain laufen hat der Leser nicht evaluiert. Es wurde beim Test zumindest f\u00fcr eine Subeinheit eines Bundeslandes (ganz andere Gesellschaft als sein Arbeitgeber) zugewiesen.<\/p>\n

Was ist dann m\u00f6glich?<\/h3>\n

Sobald man am Portal registriert ist, bekommt man nachfolgende Optionen angeboten. Auf meinem Test-Account konnte ich pers\u00f6nlich aber keine Lizenzen einsehen, das funktionierte einfach nicht.<\/p>\n

\"Ivanti<\/p>\n

Unter Assets [2] l\u00e4sst sich dann eine grobe Lizenz\u00fcbersicht abrufen, w\u00e4hrend unter Licensing [3] das Lizenzportal erreichbar ist. Dort finden sich folgende Informationen: <\/p>\n

  • Produkte mit Version <\/li>\n
  • Aktivierungs Login (nicht<\/i> auslesbar\/schreibbar, Gl\u00fcck gehabt) <\/li>\n
  • Lizenzdateien\n

    Die in obigem Screenshot unter [4] angegebene Firmenumgebung ist personalisiert. Dort lie\u00dfen sich dann recht interessante Daten abfragen. <\/p>\n<\/li>\n

  • Andere User (perfekte Ziele f\u00fcr Attacken) <\/li>\n
  • Hauptaccount (kann andere User deaktivieren) <\/li>\n
  • Partner, \u00fcber die Ivanti lizensiert\/eingerichtet wurde\/wird.\n

    Selbst der Support-Bereich ist nach Angaben des Lesers von Interesse, da man dort neue Requests (z.B. Lizenz\u00fcbertragung) stellen k\u00f6nne und auf die bisherigen Requests lesend zugreifen kann. Dort finden sich u.U. Details \u00fcber Systeme oder gar Logins, wenn es richtig dumm l\u00e4uft, merkt der Leser an. Fakt ist, dass Nutzer mit entsprechender E-Mail offenbar auf die Eintr\u00e4ge des Portals zugreifen k\u00f6nnen und dieses dann Informationen offen legt, die eigentlich eher nur einem berechtigten Kreis zug\u00e4nglich sein sollen. <\/p>\n

    Der Hersteller mauert wohl<\/h2>\n<\/p>\n

    Der Blog-Leser schrieb mir dazu, dass ihm diese Ungereimtheiten bereits 2019 aufgefallen seien. Im gleichen Jahr wurde vom Benutzer eine Meldung zum Problem als Case er\u00f6ffnet, ohne das dieser bearbeitet wurde. Inzwischen ist der Leser bei einem anderen Arbeitgeber und in seinem Arbeitsumfeld erneut auf die oben skizzierten Probleme gesto\u00dfen. <\/p>\n

    Dass das Problem nach wie vor existiert, davon konnte sich der Leser bei einem Test im Januar 2024 \u00fcberzeugen. Im Februar 2024 habe er das Problem \u00fcber seinen CISO Anfang Februar 2024 eskaliert. Es gab wohl auch ein Gespr\u00e4ch mit den US-Mitarbeitern von Ivanti, in dem hoch und heilig versprochen wurde, sich der Sache ganz zeitnah anzunehmen. \"Ivanti h\u00e4tten auch schon eine L\u00f6sung in der Entwicklung, die dem Kunden bereits kommende Woche vorgestellt w\u00fcrde\" gibt der Leser an. Leider verstrich dieser Termin und eine Einladung zu einem Folgetermin gab es nicht<\/em>.\"<\/p>\n

    Ein durch den Arbeitgeber des Lesers initiierter Folgetermin brachte keine Erkenntnisse – von \"wieder nur sinnloses Gelaber\" war die Rede. Der Leser schrieb, dass sich deren Key Account Manager zwecks Kl\u00e4rung \"die F\u00fc\u00dfe wund renne\", aber selbst \u00fcber die Legal Schiene k\u00f6nne der Inhouse bei Ivanti nichts erreichen. O-Ton: \"Das juckt einfach niemand\" und das Ganze l\u00e4uft seit Wochen so. <\/p>\n

    Ivanti ist seit Jahren \u00fcber die Information Disclosure-Schwachstelle informiert, aber es gibt keine Abhilfe. Ziehe ich den Kreis bis zu den Eingangsbemerkungen bleibt: Es scheint den Anbieter nicht zu interessieren, der versucht seine ranzigen Produkte weiter an die Kunden zu bringen und die setzen sich \u00fcber dessen Ivanti Kunden-Management-Portal<\/a> latent der Gefahr aus, dass Dritte mal genauer nachschauen und die Informationen f\u00fcr \"Unsinn\" missbrauchen. Sind ja einige prominente Kunden (Regierungen, MITRE etc.) dabei. <\/p>\n

    \u00c4hnliche Artikel:
    <\/strong>    Warnung vor Schwachstellen; Fortinet, Ivanti und mehr (Januar 2024)<\/a>
    Tausende Ger\u00e4te per Ivanti VPN-Schwachstellen angegriffen \u2013 mind. 19 in Deutschland<\/a>
    Massive Angriffswelle auf Ivanti VPN-Appliances; Warnung, Konfigurations-Pushes kann H\u00e4rtungsma\u00dfnahmen gef\u00e4hrden<\/a>
    Ivanti Connect Secure: Neue Schwachstellen CVE-2024-21888 und CVE-2024-21893 gepatcht<\/a>
    Kleine Warnung: Finger weg von Ivanti VPN; die benutzen wohl Uralt-Tools mit<\/a>
    Ivantis uralter Software-Klump \u2013 f\u00e4llt auch Sicherheitsforschern auf<\/a>
    MITRE \u00fcber Ivanti-Schwachstelle kompromittiert<\/a>
    Diensttelefone des Digitalministeriums \u00fcber Ivanti-Schwachstellen angreifbar<\/a>
    Ivanti best\u00e4tigt 2. Schwachstelle CVE-2023-35081 bei Hack der norwegischen Regierung<\/a>
    Sicherheitsmeldungen (12.3.2024): Datenlecks bei Tonerdumping, Roku; CISA \u00fcber Ivanti-Bug gehackt und mehr<\/a>
    Ivanti Endpoint Manager Schwachstelle CVE-2021-44529: Code-Injection oder Backdoor?<\/a>
    Cybersicherheit: Bei FortiOS SSL VPN und Ivanti Connect Secure \"brennt die H\u00fctte\"<\/a><\/p>\n<\/li>\n","protected":false},"excerpt":{"rendered":"

    Der Softwareanbieter Ivanti f\u00e4llt nicht nur durch zahlreiche Sicherheitsl\u00fccken in seinen Produkten auf. Ein Blog-Leser hat mich dar\u00fcber informiert, dass es eine Schwachstelle im Ivanti-Portal gibt, die u.U. Informationen \u00fcber Nutzer gegen\u00fcber unbefugten Dritten offen legt. Die Information Disclosure-Schwachstelle existiert … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-295077","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295077","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=295077"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295077\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=295077"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=295077"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=295077"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}